Användarhandbok. Microsoft Windows 10/8.1/8/7/Vista Klicka här för att hämta den senaste versionen av detta dokument

Transkript

1 Användarhandbok Microsoft Windows 10/8.1/8/7/Vista Klicka här för att hämta den senaste versionen av detta dokument

2 ESET ENDPOINT ANTIVIRUS 7 Copyright 2018 av ESET, spol. s r. o. ESET Endpoint Antivirus utvecklades av ESET, spol. s r. o. Besök för ytterligare information. Alla rättigheter förbehålls. Ingen del av denna dokumentation får reproduceras, lagras i ett hämtningssystem eller överföras i någon form, elektroniskt, mekaniskt, fotokopieras, spelas in, skannas eller på annat sätt utan skriftligt tillstånd från författaren. ESET, spol. s r. o. förbehåller sig rätten att ändra den beskrivna programvaran utan tidigare meddelande. Kundsupport i världen: REV

3 Innehåll 1. ESET Endpoint Antivirus Systemkrav Skydd Dokumentation för användare anslutna via ESET Remote Administrator ESET-fjärradministratörserver Webbkonsol Proxy Agent RD-sensor Använda enbart ESET Endpoint Antivirus Installation med ESET AV Remover ESET AV Remover Ett fel uppstod under avinstallationen med ESET AV Remover Installation Avancerad installation Produktinstallation via ERA (kommandorad) Produktaktivering Genomsökning av datorn Uppgradering till en nyare version Nybörjarguide Användargränssnitt Inställning av uppdateringar Vanliga frågor Uppdatera ESET Endpoint Antivirus Aktivera ESET Endpoint Antivirus Så använder du aktuella uppgifter för att aktivera en ny produkt Ta bort ett virus från datorn Skapa en ny aktivitet i Schemaläggare Schemalägga en genomsökningsaktivitet (var 24:e timme) Så ansluter du ESET Endpoint Antivirus till ESET Remote Administrator Så konfigurerar du en spegling Hur uppgraderar jag till Windows 10 med ESET Endpoint Antivirus Använda åsidosättningsläge Aktivera fjärrövervakning och fjärrhantering Arbeta med ESET Endpoint Antivirus Dator Detekteringsmotor En infiltration identifieras Delad lokal cache Skydd av filsystemet i realtid Ytterligare ThreatSense-parametrar Rensningsnivåer Kontroll av realtidsskyddet Ändring av konfiguration för realtidsskydd Vad gör jag om realtidsskyddet inte fungerar? Genomsökning av datorn Starta anpassad genomsökning... 42

4 Genomsökningsförlopp Logg för genomsökning av datorn Enhetskontroll Regelredigerare för enhetskontroll Lägga till regler för enhetskontroll Flyttbara medier Genomsökning vid inaktivitet Självskyddet HIPS (Host Intrusion Prevention System) Avancerade inställningar HIPS interaktivt fönster Ett potentellt ransomware-beteende upptäcktes Presentationsläge Startskanner Kontroll av filer som startas automatiskt Dokumentskydd Undantag ThreatSense-parametrar Undantag Webb och e-post Protokollfiltrering Webbläsare och e-postklienter Undantagna program Undantagna IP-adresser SSL/TLS Krypterad SSL-kommunikation Lista över kända certifikat Lista över SSL/TLS-filtrerade program Skydd av e-postklient E-postklienter E-postprotokoll Varningar och meddelanden Webbåtkomstskydd Webbprotokoll URL-adressbehandling Skydd mot nätfiske Uppdatera programmet Inställning av uppdateringar Uppdateringsprofiler Ångra uppdatering Uppdateringsläge HTTP-server Anslutningsalternativ Spegling av uppdateringar Uppdatera från speglingen Felsöka problem med uppdatering via spegling Skapa uppdateringsaktiviteter Verktyg Loggfiler Sök i logg Inställning av proxyserver Schemaläggare Skyddsstatistik... 89

5 Innehåll Se aktivitet ESET SysInspector ESET LiveGrid Processer som körs Sändning av prover till analys Meddela via e-post Karantän Microsoft Windows-uppdatering ESET CMD Användargränssnitt Element i användargränssnitt Inställningar för åtkomst Varningar och meddelanden Konfliktfel i avancerade inställningar Systemfältsikonen Kontextmeny Avancerade användare Profilhanteraren Diagnostik Importera och exportera inställningar Kommandorad Detektering av inaktivt tillstånd ESET SysInspector Introduktion till ESET SysInspector Starta ESET SysInspector Användargränssnitt och programanvändning Programkontroller Navigera i ESET SysInspector Tangentbordsgenvägar Jämför Kommandoradsparametrar Tjänsteskript Generera tjänsteskript Tjänsteskriptets struktur Köra tjänsteskript FAQ ESET SysInspector som en del av ESET Endpoint Antivirus Fjärrövervakning och fjärrhantering RMM-kommandorad Lista med JSON-kommandon få skyddsstatus få appinfo få licensinfo få loggar få aktiveringsstatus få genomsökningsinfo få konfiguration få uppdateringsstatus starta genomsökning starta aktivering starta inaktivering starta uppdatering

6 ställa in konfiguration Ordlista Hottyper Virus Maskar Trojaner Rootkit Reklamprogram Spionprogram Komprimeringsprogram Potentiellt farliga program Potentiellt oönskade program E-post Annonser Bluffar Nätfiske Känna igen spambedrägerier ESET Technology Kryphålsblockering Avancerad minnesskanner ESET LiveGrid Java-kryphålsblockering Skydd mot skriptbaserade attacker Sköld mot ransomware DNA-detekteringar UEFI-skanner

7 1. ESET Endpoint Antivirus 7 ESET Endpoint Antivirus 7 representerar ett nytt förhållningssätt till integrerad datasäkerhet. Den senaste versionen av ThreatSense genomsökningsmotor använder snabbhet och noggrannhet för att skydda datorn. Resultatet är ett intelligent system som är oupphörligen vaksamt mot attacker och skadlig programvara som utgör en fara för din dator. ESET Endpoint Antivirus 7 är en fullständig säkerhetslösning framtagen med vår långa erfarenhet av att kombinera maximalt skydd och minimal systembelastning. Den avancerade tekniken som bygger på artificiell intelligens kan proaktivt eliminera infiltration av virus, spionprogram, trojaner, maskar, reklamprogram, rootkit och andra attacker från Internet utan att minska systemets prestanda eller störa din dator. ESET Endpoint Antivirus 7 är framför allt utformad för användning på arbetsstationer i småföretagsmiljö. När ESET Endpoint Antivirus används med ESET Remote Administrator i en företagsmiljö är det enkelt att hantera olika antal klientarbetsstationer, tillämpa principer och regler, övervaka detekteringar och fjärrkonfigurera klienter från alla datorer anslutna till nätverket. 1.1 Systemkrav Om ESET Endpoint Antivirus ska fungera problemfritt bör systemet uppfylla följande krav på maskinvara och programvara (standardproduktinställningar): Processorer som stöds: 32-bitars (x86) eller 64-bitars (x64) processor, minst 1 GHz Operativsystem: Microsoft Windows 10/8.1/8/7/Vista Ett operativsystem och det krävda servicepaket som stöds av den valda ESET-produktversionen installerat Systemkraven för operativsystemet och annan installerad programvara uppfylls 0,3 GB ledigt systemminne (se anmärkning 1) 1 GB ledigt diskutrymme (se anmärkning 2) En skärmupplösning på minst bildpunkter Internetanslutning eller en LAN-anslutning till en produktuppdateringskälla (se anmärkning 3) Även om det kan gå att installera och köra produkten i system som inte uppfyller dessa krav, så bör föregående användbarhetstestning utföras baserat på prestandakraven. OBS! (1): Produkten kan använda mer minne om minnet annars skulle vara oanvänt i en kraftigt infekterad dator eller när stora datalistor importeras till produkten (till exempel vitlistor med webbadresser). (2): Det diskutrymme som krävs för att hämta installationsprogrammet, installera produkten och behålla en kopia av installationspaketet i programdata samt säkerhetskopiering av produktuppdateringar så att återställningar kan göras. Produkten kan använda mer diskutrymme beroende på inställningarna (till exempel när fler säkerhetskopierade produktuppdateringar lagras eller när minnesdumpar eller stora mängder loggposter behålls) eller i en infekterad dator (till exempel på grund av karantänfunktionen). Vi rekommenderar att ha tillräckligt med ledigt diskutrymme för att kunna genomföra uppdateringarna av operativsystemet och för ESETproduktuppdateringar. (3): Även om det inte rekommenderas, så kan produkten uppdateras manuellt från flyttbara medier. 7

8 1.2 Skydd När du använder datorn, särskilt när du surfar på Internet, bör du komma ihåg att inget antivirussystem i världen fullständigt kan eliminera risken för infiltreringar och attacker. För att uppnå maximalt skydd och bekvämlighet är det viktigt att använda antiviruslösningen på ett korrekt sätt och följa några praktiska regler: Uppdatera regelbundet Enligt statistik från ESET LiveGrid skapas tusentals nya unika infiltreringar varje dag. De kan ta sig förbi befintliga säkerhetsåtgärder och berika sina författare, allt på andra användares bekostnad. Specialisterna i ESET:s viruslabb analyserar dagligen dessa hot. De utvecklar och släpper uppdateringar så att användarnas skyddsnivå hela tiden höjs. För att säkerställa att uppdateringarna för maximal effekt är det viktigt att uppdateringarna är korrekt inställda på systemet. Ytterligare information om konfigurering av uppdateringar finns i kapitlet Uppdateringsinställningar. Hämta säkerhetskorrigeringsfiler Författarna till skadlig programvara utnyttjar ofta olika sårbarheter i systemet så att spridningen av skadlig kod blir effektivare. Med detta i åtanke letar programvaruföretag noga efter nya sårbarheter i sina program så att de kan släppa säkerhetsuppdateringar som regelbundet eliminerar potentiella hot så snart en sårbarhet har påvisats. Det är viktigt att hämta dessa säkerhetsuppdateringar så snart de släpps. Microsoft Windows och webbläsare som Internet Explorer är två exempel på program för vilka säkerhetsuppdateringar släpps regelbundet. Säkerhetskopiera viktiga data Författare till skadlig programvara bryr sig vanligtvis inte om användarnas behov och skadliga program leder ofta till att operativsystemet helt slutar fungera och att viktiga data går förlorade. Det är viktigt att regelbundet säkerhetskopiera viktiga och känsliga data till en extern källa som en DVD-skiva eller en extern hårddisk. Detta gör det mycket snabbare och enklare att återställa data om datorn eller systemet slutar fungera. Genomsök regelbundet datorn efter virus Identifiering av fler kända och okända virus, maskar, trojaner och rootkit hanteras av skyddsmodulen för realtidsövervakning av filsystemet. Detta innebär att varje gång du öppnar en fil, genomsöks den efter skadlig kod. Vi rekommenderar att du kör en fullständig genomsökning av datorn åtminstone en gång per månad, eftersom skadlig kod ändras och detekteringsmotorn uppdateras varje dag. Följ grundläggande säkerhetsregler Detta är den viktigaste och mest effektiva regeln av alla var alltid försiktig! Idag kräver många infiltreringar att användaren reagerar innan de körs och sprids. Om du är försiktig innan du öppnar nya filer sparar du mycket tid och kraft som annars skulle gå åt till att rensa bort infiltreringar. Här är några praktiska riktlinjer: Besök inte misstänkta webbplatser med flera popup-fönster och blinkande annonser. Var försiktig när du installerar gratisprogram, codec-paket o.s.v. Använd endast säkra program och besök endast säkra webbplatser. Var försiktig när du öppnar bifogade filer i e-postmeddelanden, särskilt om meddelandet har skickats till många mottagare eller kommer från en okänd avsändare. Använd inte ett administratörskonto för dagligt arbete med datorn. 8

9 2. Dokumentation för användare anslutna via ESET Remote Administrator ESET Remote Administrator (ERA) är ett program som möjliggör hantering av ESET-produkter i en nätverksmiljö från en central plats. Med åtgärdshanteringssystemet ESET Remote Administrator kan du installera ESETsäkerhetslösningar på fjärrdatorer och snabbt bemöta nya problem och hot. ESET Remote Administrator ger inget skydd mot skadlig kod i sig självt, utan förlitar sig till en ESET-säkerhetslösning i varje klient. ESET-säkerhetslösningarna har stöd för nätverk med flera plattformstyper. Nätverket kan innehålla en kombination av aktuella Microsoft-, Linux-baserade eller Mac OS-operativsystem som körs i mobila enheter (mobiltelefoner och surfplattor). I bilden nedan visas en exempelarkitektur för ett nätverk skyddat av ESET-säkerhetslösningar som hanteras av ERA: OBS! Ytterligare information finns i onlinehjälpen för ESET Remote Administrator. 9

10 2.1 ESET-fjärradministratörserver ESET-fjärradministratörservern är en huvudkomponent i ESET Remote Administrator. Det är ett verkställande program som behandlar all data som tas emot från klienter anslutna till servern (genom ERA-agenten). ERA-agenten underlättar kommunikationen mellan klienten och servern. Data (klientloggar, konfiguration, agentreplikationer och så vidare) lagras i en databas. För att data ska behandlas korrekt måste ERA-servern ha en stabil anslutning till en databasserver. ERA-servern och databasen bör installeras på separata servrar för bästa prestanda. Maskinen som ERA-servern installeras på måste vara konfigurerad att ta emot alla agent-, proxy- och RD-sensoranslutningar, vilka verifieras med certifikat. När den installerats kan du öppna ERA-webbkonsolen som ansluter till ERA-servern (se diagrammet). Alla ERA-serveråtgärder utförs från webbkonsolen när du hanterar ESET-säkerhetslösningar inom nätverket. 2.2 Webbkonsol ERA-webbkonsolen är ett webbaserat användargränssnit som presenterar data från ERA-servern och möjliggör hantering av ESET-säkerhetslösningar i nätverket. Webbkonsolen kan kommas åt via en webbläsare. Den visar en översikt över statusen för klienterna i nätverket och kan användas för att fjärrdistribuera ESET-lösningar till ohanterade datorer. Du kan välja att göra webbservern åtkomlig via Internet för att möjliggöra användning av ESET Remote Administrator från praktiskt taget alla platser eller enheter. Detta är webbkonsolens anslagstavla: Överst i webbkonsolen finns verktyget Snabbsökning. Välj Datornamn, IPv4/IPv6-adress eller Hotets namn i listrutan, ange söksträngen i textrutan och klicka sedan på förstoringsglaset eller tryck på Retur för att söka. Du omdirigeras till avsnittet Grupper, där sökresultatet visas. OBS! Ytterligare information finns i onlinehjälpen för ESET Remote Administrator. 10

11 2.3 Proxy ERA Proxy är en annan komponent i ESET Remote Administrator och fyller två syften. I ett medelstort nätverk eller företagsnätverk med många klienter (exempelvis klienter eller mer) kan du använda ERA Proxy för att fördela belastning mellan flera ERA-proxies så att ERA-servern avlastas. Den andra fördelen med ERA Proxy är att den kan användas vid anslutning till ett fjärrfilialkontor med en svag länk. Det innebär att ERA Agent i varje klient inte ansluter till ERA-huvudservern direkt via ERA Proxy, som befinner sig i samma lokala nätverk som filialkontoret. Med den här konfigurationen frigörs länken till filialkontoret. ERA-proxyn accepterar anslutningar från alla lokala ERA-agenter, kompilerar data från dem och överför dem till ERA-servern (eller en annan ERA-proxy). På så vis kan nätverket omfatta fler klienter utan att det inverkar på databasfrågornas och nätverkets prestanda. Beroende på nätverkskonfiguration kan en ERA-proxy ansluta till en annan ERA-proxy och sedan ansluta till ERAhuvudservern. För att ERA-proxyn ska fungera korrekt måste värddatorn där den installeras ha en ESET-agent installerad och den måste vara ansluten till nätverkets övre nivå (antingen ERA-server eller övre ERA-proxy, om sådan finns). 2.4 Agent ERA Agent utgör ett viktigt verktyg i ESET Remote Administrator-produkten. ESET-säkerhetslösningar i klientmaskiner (exempelvis ESET Endpoint security) kommunicerar med ERA-servern via agenten. Den här kommunikation möjliggör hantering av ESET-säkerhetslösningar i alla fjärrklienter från en central plats. Agenten samlar in information från klienten och skickar den till servern. När servern skickar en aktivitet till klienten, så skickas denna till agenten som i sin tur skickar den till klienten. All nätverkskommunikation sker mellan agenten och den övre delen av ERA-nätverket: servern och proxyn. ESET-agenten ansluter till servern på något av följande tre sätt: 1. Klientens agent är direktansluten till servern. 2. Klientens agent är ansluten genom en proxy som är ansluten till servern. 3. Klientens agent är ansluten till servern genom flera proxies. ESET-agenten kommunicerar med ESET-lösningar installerade i en klient, samlar in information från program i klienten och skickar konfigurationsinformation som tagits emot från servern till klienten. OBS! ESET-proxyn har en egen agent som hanterar all kommunikation mellan klienter, andra proxies och servern. 2.5 RD-sensor RD-sensorn (sensorn för Rogue-detektering) är en del av ESET Remote Administrator utformad för att söka efter datorer i nätverket. Med den kan du smidigt lägga till nya datorer i ESET Remote Administrator utan att behöva söka efter och lägga till dem manuellt. Varje dator som hittas i nätverket visas i webbkonsolen och läggs till i standardgruppen Alla. Därifrån kan du vidta ytterligare åtgärder för enskilda klientdatorer. RD-sensorn är en passiv lyssnare som detekterar datorer som finns i nätverket och skickar information om dem till ERA-servern. ERA-servern bedömer om de datorer som påträffas i nätverket är okända eller redan hanterade. 11

12 3. Använda enbart ESET Endpoint Antivirus Detta avsnitt i denna användarhandbok är avsedd för användare som använder ESET Endpoint Antivirus utan ESET Remote Administrator. Alla funktioner i ESET Endpoint Antivirus är helt åtkomliga beroende på en användares kontobehörighet. 3.1 Installation med ESET AV Remover Innan du fortsätter att installera är det viktigt att du avinstallerar alla befintliga säkerhetsprogram på datorn. Markera kryssrutan intill Jag vill avinstallera oönskade antivirusprogram med ESET AV Remover för att låta ESET AV Remover genomsöka systemet och ta bort de säkerhetsprogram som stöds. Lämna kryssrutan omarkerad och klicka på Fortsätt för att installera ESET Endpoint Antivirus utan att köra ESET AV Remover ESET AV Remover Med ESET AV Remover-verktyget kan du ta bort nästan alla antivirusprogram som tidigare installerats i systemet. Följ anvisningarna nedan för att ta bort ett befintligt antivirusprogram med hjälp av ESET AV Remover: 1. För att få en lista över antivirusprogram som ESET AV Remover kan ta bort, besök artikeln på ESET:s kunskapsbas. Hämta ESET AV Remover, den fristående versionen. 2. Läs licensavtalet för slutanvändare och klicka på Godkänn för att bekräfta att du godkänner det. Om du klickar på Avböj avslutas borttagningen av det befintliga säkerhetsprogrammet på datorn. 12

13 3. ESET AV Remover kommer att börja söka igenom ditt system efter antivirusprogram. 4. Markera de antivirusprogram som anges i listan och klicka på Ta bort. Borttagningen kan ta en stund. 13

14 5. När är klar klickar du på Fortsätt. 6. Starta om datorn för att verkställa ändringarna. Om avinstallationen inte lyckades, se avsnittet Ett fel uppstod under avinstallationen med ESET AV Remover i denna handbok. 14

15 3.1.2 Ett fel uppstod under avinstallationen med ESET AV Remover Om du inte kan ta bort ett antivirusprogram med ESET AV Remover, kommer du att få ett meddelande om att programmet du försöker ta bort kanske inte stöds av ESET AV Remover. Se listan med produkter som stöds eller avinstallationsverktyg för vanliga antivirusprogram på ESET:s kunskapsdatabas för att se om det här specifika programmet kan tas bort. Om avinstallationen av säkerhetsprodukten inte lyckades eller om någon av dess komponenter avinstallerades delvis ombeds du att starta om och utföra genomsökning igen. Bekräfta UAC när datorn startat och fortsätt med genomsökningen och avinstallationen. Vid behov kan du kontakta ESET:s kundtjänst för att öppna en supportfråga och göra AppRemover.log-filen tillgänglig för ESET:s tekniker. AppRemover.log-filen ligger i eset-mappen. Gå till %TEMP% i Windows Explorer för att få tillgång till mappen. ESET:s kundtjänst kommer att svara så snart som möjligt och hjälpa dig lösa problemet. 15

16 3.2 Installation När du har startat installationsprogrammet tar installationsguiden dig igenom installationen. VIKTIGT! Kontrollera att inga andra antivirusprogram är installerade på datorn. Om två eller fler antiviruslösningar är installera på en dator kan de komma i konflikt med varandra. Det rekommenderas att du avinstallerar alla andra antivirusprogram på datorn. Se vår artikel i kunskapsbasen för en lista med avinstallationsverktyg för vanliga antivirusprogram (finns på engelska och flera andra språk). I nästa steg visas licensavtal för slutanvändare. Läs det och klicka på Godkänn för att bekräfta att du godkänner licensavtalet för slutanvändare. Klicka på Nästa när du godkänt villkoren för att fortsätta med installationen. 16

17 När du valt "Jag godkänner..." och klickat på Nästa ombeds du att aktivera feedbacksystemet ESET LiveGrid. ESET LiveGrid hjälper till att säkerställa att ESET alltid har den senaste informationen om nya infiltreringar så att vi kan skydda våra kunder bättre. Systemet tillåter att nyupptäckta hot skickas till ESET:s viruslabb där de analyseras, bearbetas och läggs till i detekteringsmotorn. Nästa steg i installationsprocessen är att konfigurera identifiering av potentiellt oönskade program som inte nödvändigtvis är skadliga, men som ofta kan påverka operativsystemets prestanda negativt. Se kapitlet Potentiellt oönskade program för ytterligare information. Du kan komma åt ytterligare inställningar genom att klicka på Avancerade inställningar (exempelvis för att installera din ESET-produkt i en viss mapp eller aktivera automatisk genomsökning efter installationen). Det slutliga steget är att bekräfta installationen genom att klicka på Installera. 17

18 3.2.1 Avancerad installation Med avancerad installation kan du anpassa ett antal installationsparametrar som inte är tillgängliga när du utför en vanlig installation. När du valt din preferens för identifiering av potentiellt oönskade program och klickar på Avancerade inställningar ombeds du att välja en plats för installationens produktmapp. Som standard installeras programmet i följande katalog: C:\Program Files\ESET\ESET Endpoint Antivirus\ Du kan ange en plats för programmoduler och -data. Som standard installeras de i följande respektive kataloger: C:\Program Files\ESET\ESET Endpoint Antivirus\ C:\ProgramData\ESET\ESET Endpoint Antivirus\ Klicka på Bläddra... för att byta dessa platser (rekommenderas inte). Konfigurera proxyserverinställningarna genom att välja Jag använder en proxyserver och klicka på Nästa. Ange proxyserverns IP- eller URL-adress i fältet Adress. Är du inte säker på om du använder en proxyserver för anslutning till Internet, välj Använd samma inställningar som Internet Explorer (rekommenderas) och klicka på Nästa. Välj Jag använder inte en proxyserver om du inte använder en proxyserver. För mer information, se Proxyserver. 18

19 Detta installationssteg gör det möjligt att bestämma hur automatiska programuppdateringar hanteras i systemet. Klicka på Ändra... för att komma till Avancerade inställningar. Markera Uppdatera aldrig programkomponenter om programkomponenterna inte ska uppdateras. Välj Fråga innan programkomponenter hämtas för att visa ett bekräftelsefönster varje gång systemet försöker hämta programkomponenter. Hämta uppgraderingar av programkomponenter automatiskt genom att välja Uppdatera alltid programkomponenter. Nästa installationsfönster har alternativet att ställa in ett lösenord för att skydda programinställningarna. Välj Skydda konfigurationsinställningar med ett lösenord och ange ditt lösenord i fälten Nytt lösenord och Bekräfta nytt lösenord. Detta lösenord krävs för att ändra eller få åtkomst till inställningarna i ESET Endpoint Antivirus. Klicka på Nästa när båda lösenordsfälten överensstämmer. Klicka på Installera för att börja installera. 19

20 3.3 Produktinstallation via ERA (kommandorad) Följande inställningar är endast avsedda för användning med nivåerna reducerad, grundläggande och ingen av användargränssnittet. Se dokumentationen för den msiexec-version som används för lämpliga kommandoradsväxlar. Parametrar som stöds: APPDIR=<path> o path giltig katalogsökväg o Programmets installationskatalog. o Till exempel: ees_nt64_enu.msi /qn APPDIR=C:\ESET\ ADDLOCAL=DocumentProtection APPDATADIR=<path> o path giltig katalogsökväg o Installationskatalog för programdata. MODULEDIR=<path> o path giltig katalogsökväg o Modulens installationskatalog. ADDLOCAL=<list> o Komponentinstallation - lista över icke-obligatoriska funktioner som ska installeras lokalt. o Användning med ESET.msi-paket: ees_nt64_enu.msi /qn ADDLOCAL=<list> o För mer information om ADDLOCAL-egenskapen, se 28v=vs.85%29.aspx Regler o ADDLOCAL-listan är en kommaseparerad lista över alla funktionsnamn som ska installeras. o När en funktion väljs för installation måste hela sökvägen (samtliga överordnade funktioner) uttryckligen inkluderas i listan. o Se ytterligare regler för korrekt användning. Funktionsförekomst o Obligatorisk funktionen installeras alltid o Valfri funktionen kan avmarkeras för installation o Osynlig logisk funktion som är obligatorisk för att andra funktioner ska fungera korrekt o Platshållare en funktion som inte påverkar produkten, men som måste listas med underfunktioner Endpoint 6.1 har följande funktionsträd: Funktionsträd Funktionsnamn Funktionsförekomst Dator Dator/Skydd mot virus och spionprogram Dator/Skydd mot virus och spionprogram/skydd av filsystemet i realtid Dator/Skydd mot virus och spionprogram > Genomsökning av datorn Dator/Skydd mot virus och spionprogram > Dokumentskydd Dator/Enhetskontroll Nätverk Nätverk/brandvägg Webb och e-post Protokollfiltrering av webb och e-post Webb och e-post/webbåtkomstskydd Webb och e-post/skydd av e-postklient Computer Antivirus RealtimeProtection Obligatorisk Obligatorisk Obligatorisk Scan Obligatorisk Document protection Valfri DeviceControl Network Firewall WebAnd ProtocolFiltering WebAccessProtection ClientProtection Valfri Platshållare Valfri Platshållare Osynlig Valfri Valfri 20

21 Webb och e-post/skydd av e-postklient/plugin-program för e-post Webb och e-post/skydd av e-postklient/spamskydd Webb och e-post/webbkontroll Spegling av uppdateringar Microsoft NAP-stöd MailPlugins Osynlig Antispam WebControl UpdateMirror MicrosoftNAP Valfri Valfri Valfri Valfri Ytterligare regler o Om någon av WebAnd -funktionerna väljs för installation måste ProtocolFiltering-funktionen uttryckligen inkluderas i listan. o Om någon av ClientProtection-underfunktionerna väljs för installation måste MailPlugins-funktionen uttryckligen inkluderas i listan. Exempel: ees_nt64_enu.msi /qn ADDLOCAL=WebAnd ,WebAccessProtection,ProtocolFiltering ees_nt64_enu.msi /qn ADDLOCAL=WebAnd , ClientProtection,Antispam,MailPlugins Lista över CFG_ properties: CFG_POTENTIALLYUNWANTED_ENABLED=1/0 0 inaktiverad, 1 aktiverad PUA CFG_LIVEGRID_ENABLED=1/0 0 inaktiverad, 1 aktiverad LiveGrid CFG_EPFW_MODE=0/1/2/3 0 automatisk, 1 interaktiv, 2 policy, 3 inlärning CFG_PROXY_ENABLED=0/1 0 inaktiverad, 1 aktiverad CFG_PROXY_ADDRESS=<ip> Proxy-IP-adress. CFG_PROXY_PORT=<port> Proxyportnummer. CFG_PROXY_USERNAME=<user> Användarnamn för autentisering. CFG_PROXY_PASSWORD=<pass> Lösenord för autentisering. Installation via SCCM, inaktivera aktiveringsdialogruta: ACTIVATION_DLG_SUPPRESS=1 1 aktiverad (aktiveringsdialogruta visas inte) 0 inaktiverad (aktiveringsdialogruta visas) 21

22 3.4 Produktaktivering När installationen är slutförd ombeds du aktivera produkten. Välj någon av de tillgängliga metoderna för att aktivera ESET Endpoint Antivirus. Se Hur man aktiverar ESET Endpoint Antivirus för mer information. 3.5 Genomsökning av datorn Vi rekommenderar att du genomför genomsökningar regelbundet eller schemalägger en regelbunden genomsökning för att söka efter hot. Klicka på Genomsökning av datorn i programmets huvudfönster och klicka sedan på Smart genomsökning. För mer information om genomsökning av datorn, se Genomsökning av datorn. 3.6 Uppgradering till en nyare version Nya versioner av ESET Endpoint Antivirus kommer ut för att genomföra förbättringar eller lösa problem som inte går att åtgärda med automatiska uppdateringar av programmodulerna. Det går att uppdatera till en nyare version på flera sätt: 1. Automatiskt genom programuppdatering. Eftersom programuppdateringen distribueras till alla användare och kan påverka vissa systemkonfigurationer, släpps de efter en lång testperiod för problemfri uppgradering på alla tänkbara systemkonfigurationer. Använd en av metoderna nedan om du måste uppgradera till en nyare version omedelbart när den kommer ut. 2. Manuellt genom att hämta och installera en nyare version över den föregående. 3. Manuellt med automatisk distribution i en nätverksmiljö med ESET Remote Administrator. 22

23 3.7 Nybörjarguide Detta kapitel ger en inledande översikt över ESET Endpoint Antivirus och grundinställningarna Användargränssnitt ESET Endpoint Antivirus huvudfönster är indelat i två huvuddelar. Det primära fönstret till höger visar information som motsvarar alternativt som valts i huvudmenyn till vänster. Här följer en beskrivning av alternativen på huvudmenyn: Skyddsstatus ger information om skyddsstatus för ESET Endpoint Antivirus. Genomsökning av datorn detta alternativ konfigurerar och startar en smart genomsökning, anpassad genomsökning eller genomsökning av flyttbara medier. Du kan även upprepa den senaste genomsökningen. Uppdatering visar information om detekteringsmotorn. Inställningar välj det här alternativet om du vill justera säkerhetsinställningarna för Dator eller Webb- och e-post. Verktyg ger åtkomst till loggfiler, skyddsstatistik, aktivitetsövervakning, processer som körs, schemaläggare, karantän, ESET SysInspector och ESET SysRescue för att skapa en återställnings-cd. Du kan även skicka ett prov för analys. Hjälp och support ger åtkomst till hjälpfiler, ESET:s kunskapsbas och ESET:s företagswebbplats. Dessutom finns länkar för att öppna en kundsupportfråga, supportverktyg och information om produktaktivering. Skyddsstatus-fönstret informerar om datorns säkerhet och dess aktuella skyddsnivå. Den gröna statusikonen Maximalt skydd visar anger att maximalt skydd garanteras. I statusfönstret finns även snabblänkar till vanliga funktioner i ESET Endpoint Antivirus och information om den senaste uppdateringen. 23

24 Vad gör jag om programmet inte fungerar? En grön bock visas bredvid alla programmoduler som fungerar korrekt. Ett rött utropstecken eller en orange meddelandeikon visas om modulen behöver en användaråtgärd. Ytterligare information om modulen, inklusive vår rekommendation om återställning till fullständig funktionalitet, visas i fönstrets övre del. Om vill ändra en moduls status klickar du på Inställningar på huvudmenyn och sedan på önskad modul. Den röda ikonen med ett utropstecken (!) anger att maximalt skydd för datorn inte garanteras. Detta kan förekomma i följande situationer: Skyddet mot virus och spionprogram är pausat klicka på Starta alla moduler för skydd mot virus och 24 spionprogram om du vill aktivera skyddet mot virus och spionprogram igen i panelen Skyddsstatus eller Aktivera skydd mot virus och spionprogram i panelen Inställningar i programmets huvudfönster. Antivirusskyddet fungerar inte Det gick inte att initiera virusskannern. De flesta av modulerna i ESET Endpoint Antivirus fungerar inte korrekt. Skydd mot nätfiske fungerar inte funktionen fungerar inte eftersom andra programmoduler som krävs inte är aktiva. Detekteringsmotorn är inaktuell du använder en inaktuell detekteringsmotor. Uppdatera detekteringsmotorn. Produkten inte aktiverad eller Licensen har upphört detta indikeras genom att ikonen Skyddsstatus blir röd. Programmet kan inte uppdatera när licensen har gått ut. Vi rekommenderar att följa anvisningarna i varningsfönstret för att förnya licensen. HIPS (Host Intrusion Prevention System) inaktiverat det här problemet indikeras när HIPS inaktiveras från Avancerade inställningar. Datorn skyddas inte mot vissa typer av hot och skyddet bör omedelbart aktiveras igen genom att klicka på Aktivera HIPS. ESET LiveGrid är inaktiverat det här problemet indikeras när ESET LiveGrid inaktiveras i Avancerade inställningar. Inga regelbundna uppdateringar schemalagda ESET Endpoint Antivirus kontrollerar inte om det finns och tar inte emot viktiga uppdateringar om du inte schemalägger en uppdateringsåtgärd. Anti-Stealth är inaktiverat klicka på Aktivera Anti-Stealth om du vill aktivera funktionen igen. Skydd av filsystemet i realtid är pausat skyddet av filsystemet i realtid har pausats av användaren. Datorn

25 skyddas inte mot vissa hot. Klicka på Aktivera realtidsskydd om du vill aktivera funktionen igen. Ett orange "i" indikerar att ESET-produkten kräver uppmärksamhet för ett icke-kritiskt problem. Möjliga orsaker är: Webbåtkomstskydd är inaktiverat klicka på säkerhetsmeddelandet för att återaktivera webbåtkomstskyddet och sedan på Aktivera webbåtkomstskydd. Licensen upphör snart att gälla detta indikeras genom att skyddsstatusikonen och visar ett utropstecken. När licensen har gått ut kan programmet inte uppdatera och ikonen Skyddsstatus blir röd. Spamskydd pausat klicka på Aktivera spamskydd om du vill aktivera funktionen igen. Webbkontroll pausad klicka på Aktivera webbkontroll om du vill aktivera funktionen igen. Åsidosättning av policy är aktiv den konfiguration som ställts in av policyn åsidosätts tillfälligt, i regel tills felsökningen är klar. Policyinställningarna kan endast åsidosättas av auktoriserade användare. Läs mer i Använda åsidosättningsläge. Enhetsstyrning pausad klicka på Aktivera enhetskontroll om du vill aktivera funktionen igen. Om det inte går att lösa problemet med förslagen, klicka på Hjälp och support för att visa hjälpfilerna eller söka i ESET:s kunskapsbas. Om du fortfarande behöver hjälp, skicka in en supportbegäran till ESET kundtjänst. ESET kundtjänst svarar snabbt på dina frågor och hjälper dig att hitta en lösning. OBS! Om en status tillhör en funktion som är blockerad av ERA-policyn går det inte att klicka på länken Inställning av uppdateringar Att uppdatera moduler är avgörande för att få ett heltäckande skydd mot skadlig kod. Var mycket noggrann vad gäller uppdatering av konfiguration och funktionalitet. På huvudmenyn väljer du Uppdatera > Uppdatera nu för att söka efter en nyare moduluppdatering. Om du inte angett din Licensnyckel än kommer du inte att kunna få nya uppdateringar och ombeds att aktivera produkten. 25

26 Fönstret Avancerade inställningar (klicka på Inställningar > Avancerade inställningar på huvudmenyn eller tryck på F5 på tangentbordet) innehåller ytterligare uppdateringsalternativ. Klicka på knappen Uppdatera i trädet Avancerade inställningar för att konfigurera avancerade uppdateringsalternativ som uppdateringsläge, proxyserveråtkomst, LAN-anslutningar och skapa detekteringsmotorkopior. Har du problem med en uppdatering, klicka på Rensa för att rensa det tillfälliga uppdateringscachet. Menyn Uppdateringsserver är som standard inställd till AUTOSELECT. När en ESET-server används bör alternativet Välj automatiskt användas. Om du inte vill att systemmeddelanden ska visas i nedre högra hörnet på skärmen väljer du Inaktivera meddelande om slutförd uppdatering. För bästa funktion bör programmet uppdateras automatiskt. Detta är endast möjligt om Licensnyckel angetts i Hjälp och support > Aktivera produkt. Om du inte angav licensnyckeln efter installationen kan du göra detta när du vill. För mer utförlig information om aktivering, se Så aktiverar du ESET Endpoint Antivirus och ange de uppgifter du fick med din ESET-säkerhetsprodukt i fönstret Licensinformation. 3.8 Vanliga frågor Det här kapitlet innehåller en del ofta förekommande frågor och problem som uppkommer. Klicka på en ämnesrubrik om du vill få information om hur du kan lösa ett problem: Hur man uppdaterar ESET Endpoint Antivirus Hur man aktiverar ESET Endpoint Antivirus Så använder du aktuella uppgifter för att aktivera en ny produkt Ta bort ett virus från datorn Skapa en ny aktivitet i Schemaläggare Schemalägga en genomsökningsaktivitet (var 24:e timme) Så ansluter du din produkt till ESET Remote Administrator Så konfigurerar du en spegling Om ditt problem inte finns på listan med hjälpsidor ovan, försök att söka med nyckelord eller en fras som beskriver ditt problem på hjälpsidorna för ESET Endpoint Antivirus. 26

27 Om du inte hittar någon lösning på problemet på hjälpsidorna besöker du ESET kunskapsbas, där det finns svar på de flesta vanliga frågor. Så tar du bort trojanen Sirefef (ZeroAccess) Kontrollista vid felsökning av spegling av uppdateringar Vilka adresser och portar i min brandvägg från tredje part ska jag öppna för att min ESET-produkt ska fungera fullt ut? Om det behövs kan du kontakta det tekniska supportcentret online med dina frågor eller problem. Länken till vårt kontaktformulär på webben finns i fönstret Hjälp och support i huvudprogramfönstret Uppdatera ESET Endpoint Antivirus Det går att uppdatera ESET Endpoint Antivirus manuellt eller automatiskt. Starta uppdateringen genom att klicka på Uppdatera nu i avsnittet Uppdatera på huvudmenyn. Standardinstallationens inställningar skapar en automatisk uppdateringsaktivitet som utförs en gång i timmen. Gå till Verktyg > Schemaläggaren om du vill ändra intervallet (klicka här för ytterligare information om Schemaläggaren) Aktivera ESET Endpoint Antivirus När installationen är slutförd ombeds du aktivera produkten. Det går att aktivera produkten på flera sätt. Tillgänglighet för ett visst aktiveringssätt i aktiveringsfönstret kan bero på land och distributionssätt (CD/DVD, ESET webbsida osv.). För att aktivera ditt exemplar av ESET Endpoint Antivirus direkt från programmet klickar du på systemfältsikonen och väljer Aktivera produktlicens på menyn. Du kan även aktivera produkten via huvudmenyn under Hjälp och support > Aktivera produkt eller Skyddsstatus > Aktivera produkt. ESET Endpoint Antivirus kan aktiveras på något av följande sätt: Licensnyckel en unik sträng i formatet XXXX-XXXX-XXXX-XXXX-XXXX som används för att identifiera licensägaren och aktivera licensen. Säkerhetsadministratörskonto ett konto som skapas på ESET License Administrator-portalen med uppgifter (e- postadress och lösenord). Med den här metoden kan du hantera flera licenser från en plats. Offlinelicens en automatiskt genererad fil som överförs till ESET-produkten för att tillhandahålla licensinformation. Om en licens medger hämtning av en offlinelicensfil (.lf) kan den filen användas för offlineaktivering. Antalet offlinelicenser dras från det totala antalet tillgängliga licenser. För mer information om att skapa offlinelicensfiler, se ESET License Administrator-användarhandboken. Klicka på Aktivera senare om datorn ingår i ett hanterat nätverk och administratören kommer att utföra fjärraktivering via ESET Remote Administrator. Du kan även använda det här alternativet om du vill aktivera klienten vid ett senare tillfälle. Om du har ett användarnamn och lösenord och inte vet hur du aktiverar ESET Endpoint Antivirus klickar du på Jag har ett användarnamn och lösenord, vad ska jag göra?. Då omdirigeras du till ESET License Administrator, där du kan konvertera dina inloggningsuppgifter till en licensnyckel. Du kan ändra produktlicensen när som helst. Om du vill göra det klickar du på Hjälp och support > Hantera licens i programmets huvudfönster. Då visas det offentliga licens-id som behövs för att identifiera licensen för ESET:s support. Användarnamnet datorn är registrerad för finns i avsnittet Om, som du kan visa genom att högerklicka på systemfältsikonen. OBS! ESET Remote Administrator kan aktivera klientdatorer tyst med hjälp av licenser som gjorts tillgängliga av administratören. Anvisningar för detta finns i ESET Remote Administrator-användarhandboken. 27

28 3.8.3 Så använder du aktuella uppgifter för att aktivera en ny produkt Om du redan har ett användarnamn och lösenord och vill hämta en licensnyckel besöker du ESETlicensadministratörportalen, där du kan konvertera dina uppgifter till en ny licensnyckel Ta bort ett virus från datorn Om datorn visar symptom på att ha blivit infekterad av skadlig programvara, t.ex. om den har blivit långsammare eller ofta låser sig, rekommenderar vi att du gör följande: 1. Klicka på Genomsökning av datorn i programmets huvudfönster. 2. Klicka på Smart genomsökning för att genomsöka systemet. 3. När genomsökningen har slutförts visas antalet genomsökta, infekterade och rensade filer i loggen. 4. Vill du endast genomsöka en viss del av disken, klicka på Anpassad genomsökning och ange vad som ska genomsökas efter virus. För mer information, se vår ESET-kunskapsdatabas som uppdateras regelbundet Skapa en ny aktivitet i Schemaläggare Skapa en ny aktivitet i Verktyg > Schemaläggaren genom att klicka på Lägg till aktivitet eller högerklicka på kontextmenyn och välj Lägg till... Det finns fem typer av schemalagda aktiviteter: Kör externt program schemalägger körning av ett extern program. Underhåll av loggning - loggfiler innehåller även rester från borttagna poster. Denna aktivitet optimerar regelbundet posterna i loggfiler för effektiv funktion. Kontroll av filer som startas automatiskt kontrollerar filer som tillåts köra vid systemstart eller inloggning. Skapa en avbildning av datorns status skapar en avbildning av datorn i ESET SysInspector samlar detaljerad information om systemkomponenter (t.ex. drivrutiner och program) och utvärderar risknivån för varje komponent. Genomsökning av datorn på begäran utför genomsökning av filer och mappar på datorn. Uppdatering schemalägger en uppdateringsaktivitet genom att uppdatera moduler. Eftersom Uppdatering är en av de schemalagda aktiviteter som används oftast förklarar vi hur du skapar en ny uppdateringsaktivitet. Välj Uppdatera från rullgardinsmenyn Schemalagd aktivitet. Ange aktivitetens namn i fältet Aktivitetsnamn och klicka på Nästa. Välj hur ofta aktiviteten ska utföras. Följande alternativ finns tillgängliga: En gång, Flera gånger, Dagligen, Varje vecka och Händelseutlöst. Välj Hoppa över aktivitet när datorn körs på batteri för att minimera systemresurserna när datorns körs på batteri. Aktiviteten körs vid det datum och den tidpunkt som angetts i fältet Utförande av aktivitet. Definiera sedan åtgärden som vidtas om aktiviteten inte kan genomföras eller slutföras den schemalagda tiden. Följande alternativ finns tillgängliga: Vid nästa schemalagda tid Så snart som möjligt Omedelbart om tiden sedan senaste körning överskrider angivet värde (intervallet kan anges i rullningsrutan Tid sedan senaste körning) I nästa steg visas ett översiktsfönster med information om den aktuella schemalagda aktiviteten. Klicka på Slutför när du är klar med ändringarna. En dialogruta öppnas där användaren kan välja vilka profiler som ska användas för den schemalagda aktiviteten. Här kan du välja primär och alternativ profil. Den alternativa profilen används om aktiviteten inte kan slutföras med den primära profilen. Den nya schemalagda aktiviteten läggs till i listan över aktuella schemalagda aktiviteter när du klickar på Slutför. 28

29 3.8.6 Schemalägga en genomsökningsaktivitet (var 24:e timme) Schemalägg en regelbunden aktivitet genom att öppna programmets huvudfönster och klicka på Verktyg > Schemaläggare. Nedan finns en kort guide om att schemalägga en aktivitet som startar en genomsökning av lokala diskar var 24:e timme. Schemalägga en aktivitet: 1. Klicka på Lägg till i huvudskärmen i Schemaläggare. 2. Välj Genomsökning av datorn på begäran på rullgardinsmenyn. 3. Ange ett namn för aktiviteten och välj Flera gånger. 4. Välj att köra aktiviteten var 24:e timme. 5. Välj en åtgärd att utföra om den schemalagda aktiviteten misslyckas. 6. Granska sammanfattningen av den schemalagda aktiviteten och klicka på Slutför. 7. Välj Lokala enheter på rullgardinsmenyn Målobjekt. 8. Klicka på Slutför om du vill använda aktiviteten Så ansluter du ESET Endpoint Antivirus till ESET Remote Administrator När ESET Endpoint Antivirus installerats på datorn och du vill ansluta via ESET Remote Administrator kontrollerar du att även att ERA-agenten har installerats på klientarbetsstationen. ERA Agent krävs för alla klientlösningar som kommunicerar med ERA-servern. ESET Remote Administrator använder RD-sensorverktyget för att söka efter datorer i nätverket. Alla datorer i nätverket som detekteras av RD-sensorn visas i webbkonsolen. När agenten distribuerats kan du fjärrinstallera ESET-säkerhetsprodukter på klientdatorn. De exakta stegen för fjärrinstallation beskrivs i ESET Remote Administrator-användarhandboken Så konfigurerar du en spegling ESET Endpoint Antivirus kan konfigureras att lagra kopior av uppdateringsfiler för detekteringsmotorn och distribuera uppdateringar till andra arbetsstationer som kör ESET Endpoint Security eller ESET Endpoint Antivirus. Konfigurera ESET Endpoint Antivirus som en speglingsserver för att tillhandahålla uppdateringar via en intern HTTPserver Tryck på F5 för att öppna Avancerade inställningar och expandera Uppdatera > Grundläggande. Kontrollera att Uppdateringsserver är inställt till AUTOSELECT. Välj Skapa spegling av uppdateringar och Tillhandahåll uppdateringsfiler via intern HTTP-server från Avancerade inställningar > Grundläggande > Spegling. Konfigurera en spegling för att tillhandahålla uppdateringar via en delad nätverksmapp Skapa en delad mapp på en lokal enhet eller nätverksenhet. Mappen måste vara läsbar av alla användare som kör ESET-säkerhetslösningar och skrivbar från det lokala SYSTEM-kontot. Aktivera Skapa spegling av uppdateringar under Avancerade inställningar > Grundläggande > Spegling. Bläddra efter och välj den skapade delade mappen. OBS! Om du inte vill uppdatera via intern HTTP-server inaktiverar du Tillhandahåll uppdateringsfiler via intern HTTPserver. 29

30 3.8.9 Hur uppgraderar jag till Windows 10 med ESET Endpoint Antivirus VARNING! Vi rekommenderar starkt att du uppgraderar till den senaste versionen av din ESET-produkt och sedan laddar ned den senaste moduluppdateringarna innan du uppgraderar till Windows 10. Detta säkerställer maximalt skydd och bevarar dina programinställningar och din licensinformation under uppgraderingen till Windows 10. Version 6.x och senare: Klicka på den aktuella länken nedan för att ladda ned och installera den senaste versionen som förberedelse innan du uppgraderar till Windows 10: Hämta ESET Endpoint Security 6 32-bitars Hämta ESET Endpoint Antivirus 6 32-bitars Hämta ESET Endpoint Security 6 64-bitars Hämta ESET Endpoint Antivirus 6 64-bitars Version 5.x och tidigare: Klicka på den aktuella länken nedan för att ladda ned och installera den senaste versionen som förberedelse innan du uppgraderar till Windows 10: Hämta ESET Endpoint Security 5 32-bitars Hämta ESET Endpoint Antivirus 5 32-bitars Hämta ESET Endpoint Security 5 64-bitars Hämta ESET Endpoint Antivirus 5 64-bitars Andra språkversioner: Om du söker en annan språkversion för din ESET-slutpunktsprodukt, besök vår nedladdningssida. OBS! Mer information om kompatibiliteten för ESET-produkter med Windows Använda åsidosättningsläge Användare med ESET Endpoint-produkter (version 6.5 och senare) för Windows installerade på datorn kan använda åsidosättningsfunktionen. Med åsidosättningsläget kan användare på klientdatornivå ändra inställningar i den installerade ESET-produkten, även om inställningarna omfattas av en policy. Åsidosättningsläget kan aktiveras för vissa AD-användare eller lösenordsskyddas. Funktionen kan inte vara aktiv längre än fyra timmar i taget. VARNING! Åsidosättningsläget kan inte stoppas från ERA-webbkonsolen när det väl aktiverats. Åsidosättningen inaktiveras först efter att åsidosättningstiden går ut, eller när det stängs av på själva klientdatorn. Så ställer du in åsidosättningsläget: 1. Navigera till Admin > Policyer > Ny policy. 2. I avsnittet Grundläggande skriver du ett namn och en beskrivning för policyn. 3. I avsnittet Inställningar väljer du ESET Endpoint för Windows. 4. Klicka på Åsidosättningsläge och konfigurera regler för åsidosättningsläget. 5. I avsnittet Tilldela väljer du den dator eller grupp datorer som policyn ska gälla för. 6. Granska inställningarna i avsnittet 30 Sammanfattning och klicka på Slutför för att tillämpa policyn.

31 När åsidosättningspolicyn har tillämpats från ERA Server till ERA Agent visas en knapp i de avancerade inställningarna (i klientens slutpunkt) för åsidosättningspolicyn. 1. Klicka på Åsidosätt policy. 2. Ange tid och klicka på Verkställ. 3. Tillåt utökad behörighet för ESET-programmet. 4. Ange lösenordet för policyn (eller inget lösenord om Active Directory-användare ställts in i policyn). 5. Tillåt utökad behörighet för ESET-programmet. 6. Nu är åsidosättningsläget aktiverat. 7. Om du vill avsluta det klickar du på Avsluta åsidosättning. TIPS Om Johan har problem med att hans slutpunktsinställningar blockerar vissa viktiga funktioner eller webbåtkomsten på datorn kan administratören tillåta att Johan åsidosätter sin befintliga slutpunktspolicy och justerar inställningarna manuellt på datorn. Därefter kan dessa nya inställningar begäras av ERA, så att administratören kan skapa en ny policy utifrån dem. Följ stegen nedan för att göra detta: 31

32 Navigera till Admin > Policyer > Ny policy. Fyll i fälten Namn och Beskrivning. I avsnittet Inställningar väljer du ESET Endpoint för Windows. Klicka på Åsidosättningsläge, aktivera åsidosättningsläget i en timme och välj Johan som AD-användare. Tilldela policyn till Johans dator och klicka på Slutför för att spara policyn. Johan måste aktivera åsidosättningsläget för sin ESET-slutpunkt och ändra inställningarna manuellt på datorn. I ERA -webbkonsolen navigerar du till Datorer, väljer Johans dator och klickar på Visa detaljerad information. I avsnittet Konfiguration klickar du på Begär konfiguration för att schemalägga en klientåtgärd och omgående hämta konfigurationen från klienten. 8. Kort därefter visas den nya konfigurationen. Klicka på den produkt du vill spara inställningarna för och klicka sedan på Öppna konfiguration. 9. Granska inställningarna och klicka sedan på Konvertera till policy. 10.Fyll i fälten Namn och Beskrivning. 11.I avsnittet Inställningar kan du ändra inställningarna om det behövs. 12.I avsnittet Tilldela kan du tilldela policyn till Johans dator (eller andra). 13.Klicka på Slutför för att spara inställningarna. 14.Glöm inte att ta bort åsidosättningspolicyn när den inte behövs längre Aktivera fjärrövervakning och fjärrhantering Fjärrövervakning och fjärrhantering (RMM; Remote Monitoring and Management) är processen för att övervaka och styra programsystem (till exempel sådana på stationära datorer, servrar och i mobila enheter) med hjälp av en lokalt installerad agent som är åtkomlig av en hanteringstjänstleverantör. ESET RMM är som standard inaktiverat. Om du vill aktivera ESET RMM trycker du på F5 för att öppna Avancerade inställningar, klickar på Verktyg, utökar ESET RMM och aktiverar reglaget bredvid Aktivera RMM. Arbetsläge välj arbetsläge för RMM i listrutan. Det finns två alternativ: Endast säkra åtgärder och Alla åtgärder. Auktoriseringsmetod välj auktoriseringsmetod för RMM. Om du vill använda auktorisering väljer du Programsökväg i listrutan, annars väljer du Ingen. 32

33 VARNING! RMM bör alltid använda auktorisering för att förhindra skadlig programvara från att inaktivera eller kringgå ESET Endpoint-skyddet. Programsökvägar om du har valt Programsökväg som auktoriseringsmetod klickar du på Redigera för att öppna konfigurationsfönstret Tillåtna RMM-programsökvägar. Lägg till skapa en ny tillåten RMM-programsökväg. Ange sökvägen eller klicka på knappen om du vill välja en körbar fil. Redigera ändra en befintlig sökväg. Använd Redigera om den körbara filens plats har ändrats till en annan mapp. Ta bort ta bort en befintlig sökväg. Standardinstallationen av ESET Endpoint Antivirus innehåller filen ermm.exe i Endpoint-programkatalogen (standardsökväg c:\program Files\ESET\ESET Security ). ermm.exe utbyter data med RMM Plugin, som kommunicerar med RMM Agent, länkat till RMM Server. ermm.exe kommandoradsverktyg utvecklat av ESET som möjliggör hantering av Endpoint-produkter och kommunikation med RMM Plugin. RMM Plugin är ett program från tredje part som körs lokalt i Endpoint-Windows-systemet. Plugin-programmet är framtaget för att kommunicera med en viss RMM-agent (till exempel endast Kaseya) och med ermm.exe. RMM Agent är ett program från tredje part (till exempel från Kaseya) som körs lokalt i Endpoint-Windowssystemet. Agent kommunicerar med RMM Plugin och med RMM Server. RMM Server körs som en tjänst på en server från tredje part. RMM-system som stöds är av Kaseya, Labtech, Autotask, Max Focus och Solarwinds N-able. 33

34 3.9 Arbeta med ESET Endpoint Antivirus Med de olika inställningsalternativen för ESET Endpoint Antivirus går det att ställa in skyddsnivån för dator, webb och e-post. OBS! När du skapar en policy med ESET Remote Administrator webbkonsolen kan du välja flagga för varje inställning. Inställningar med flaggan Forcera har prioritet och kan inte skrivas över av en senare policy (även om den senare policyn har en Forcera-flagga). Detta säkerställer att inställningen inte ändras (t.ex. av en användare eller av senare policyer vid sammanslagningar). Läs mer i Flaggor i onlinehjälpen för ERA. Menyn Inställningar innehåller följande avsnitt: Dator Webb och e-post Inställning av skydd för Dator gör det möjligt att aktivera eller inaktivera följande komponenter: Skydd av filsystemet i realtid alla filer genomsöks efter skadlig kod när de öppnas, skapas eller körs på datorn. Dokumentskydd funktionen Dokumentskydd genomsöker Microsoft Office-dokument innan de öppnas, samt filer som hämtats automatiskt av Internet Explorer, som t.ex. Microsoft ActiveX-kontroller. HIPS HIPS-systemet övervakar händelser inom operativsystemet och reagerar på dem enligt en uppsättning anpassade regler. Presentationsläge en funktion för användare som kräver oavbruten användning av sina program och inte vill bli störda av popup-fönster och vill minska belastningen på processorn. Du får ett varningsmeddelande (potentiell säkerhetsrisk) och huvudmenyn blir orange när Presentationsläge aktiveras. Anti-Stealth-skydd ger detektering av farliga program, såsom rootkits som kan gömma sig för operativsystemet. Det betyder att det inte är möjligt att identifiera dem med vanliga testtekniker. 34

35 Inställning av skydd för Webb och e-post gör det möjligt att aktivera eller inaktivera följande komponenter: Webbåtkomstskydd om aktiverat genomsöks all trafik genom HTTP eller HTTPS efter skadlig programvara. Skydd av e-postklienter övervakar e-postkommunikation med POP3- och IMAP-protokollen. Skydd mot nätfiske skyddar mot försök att hämta lösenord, bankuppgifter och annan känslig information av bedrägliga webbplatser som utger sig för att vara tillförlitliga. Om du vill inaktivera enskilda moduler tillfälligt klickar du på det gröna reglaget Observera att detta kan minska skyddsnivån för datorn. vid den önskade modulen. Om du vill aktivera skyddet för en inaktiverad säkerhetskomponent igen klickar du på det röda reglaget återställa en komponent till aktiverat tillstånd. för att När ERA-policyn tillämpas visas låsikonen bredvid en specifik komponent. Policyn som tillämpas av ESET Remote Administrator kan åsidosättas lokalt efter autentisering av en loggad användare (t.ex. en administratör). Ytterligare information finns i onlinehjälpen för ESET Remote Administrator. OBS! Alla skyddsåtgärder som inaktiveras på det här sättet aktiveras igen när datorn startas om. Om du vill öppna detaljerade inställningar för en viss säkerhetskomponent klickar du på kugghjulet intill valfri komponent. Det finns ytterligare alternativ längst ned i inställningsfönstret. Om du vill läsa in inställningsparametrar med en.xml-konfigurationsfil, eller om du vill spara de aktuella inställningsparametrarna till en konfigurationsfil, använder du Importera/exportera inställningar. Se Importera/exportera inställningar för utförlig information. Klicka på Avancerade inställningar eller tryck på F5 för mer utförliga alternativ Dator Modulen Dator finns under Inställningar > Dator. Här visas en översikt över de skyddsmoduler som beskrivs i föregående kapitel. I det här avsnittet finns följande inställningar: Klicka på kugghjulet intill Skydd av filsystemet i realtid och klicka på Redigera exkluderingar för att öppna inställningsfönstret Exkludering där du kan undanta filer och mappar från genomsökning. OBS! Dokumentskyddsstatus kanske inte är tillgängligt förrän det aktiveras i Avancerade inställningar (F5) > Antivirus > Dokumentskydd. Efter aktiveringen kan du behöva starta om datorn från fönstret Inställningar > Dator genom att klicka på Starta om under Enhetskontroll eller så kan du göra det från fönstret Skyddsstatus genom att klicka på Starta om datorn. Pausa skydd mot virus och spionprogram du kan när som helst tillfälligt inaktivera skyddet mot virus och spionprogram. Välj hur länge du vill att skyddet för den valda komponenten ska inaktiveras i listrutan och klicka sedan på Verkställ för att inaktivera säkerhetskomponenten. När du vill aktivera skyddet igen klickar du på Aktivera skydd mot virus och spionprogram. Inställningar för genomsökning klicka för att justera parametrarna för genomsökning av datorn (manuellt utförd genomsökning). 35

36 Detekteringsmotor Antirusskydd skyddar mot skadliga systemangrepp genom att filer, e-post och Internetkommunikation kontrolleras. Om ett hot identifieras kan antivirusmodulen eliminera det genom att det först blockeras och därefter rensas, tas bort eller flyttas till karantän. Om du vill konfigurera inställningarna för antivirusmodulen i detalj klickar du på Avancerade inställningar eller trycker på F5. Skanneralternativ för alla skyddsmoduler (t.ex. Skydd av filsystemet i realtid, Webbåtkomstskydd osv.) gör det möjligt att aktivera eller inaktivera identifiering av följande: Potentiellt oönskade program (PUA) är inte nödvändigtvis avsedda att vara skadliga, men kan påverka datorns prestanda negativt. Läs mer om dessa programtyper i ordlistan. Potentiellt farligt program är laglig, kommersiell programvara som kan missbrukas i skadliga syften. Exempel på sådana osäkra program är verktyg för fjärråtkomst, program som spårar lösenord och keylogger-program (program som registrerar varje tangent användaren trycker ned). Det här alternativet är inaktivt som standard. Läs mer om dessa programtyper i ordlistan. Misstänkta program inkluderar program som komprimerats med komprimeringsprogram eller skydd. Dessa typer av skydd utnyttjas ofta av skadlig kod för att undvika upptäckt. Anti-Stealth-tekniken är ett sofistikerat system som identifierar skadliga program som rootkits, som kan gömma sig för operativsystemet. Det betyder att det inte är möjligt att identifiera dem med vanliga testtekniker. Exkluderade objekt gör det möjligt att exkludera filer och mappar från genomsökning. För att säkerställa att alla objekt genomsöks efter hot rekommenderar vi att du bara skapar exkluderingar när det är absolut nödvändigt. Situationer där du kan behöva undanta ett objekt kan exempelvis vara genomsökning av stora databasposter som skulle göra datorn långsam under en genomsökning eller programvara som står i konflikt med genomsökningen. För att undanta ett objekt från genomsökning, se Exkluderade objekt. Aktivera avancerad genomsökning via AMSI verktyget Microsoft Antimalware Scan Interface ger programutvecklare nya skyddsmetoder mot skadlig kod (endast Windows 10). 36

37 En infiltration identifieras Datorn kan infiltreras från många olika håll, som t.ex. från webbsidor, delade mappar, via e-post eller från flyttbara lagringsenheter (USB-enheter, externa enheter, CD- och DVD-skivor, disketter osv.). Standardbeteende Som ett allmänt exempel på hur infiltrationer hanteras av ESET Endpoint Antivirus går det att identifiera infiltrationer med: Skydd av filsystemet i realtid Webbåtkomstskydd Skydd av e-postklient Genomsökning av datorn på begäran Var och en använder standardrensningsnivån och försöker att rensa filer och flytta den till Karantän eller avbryta anslutningen. Ett meddelandefönster visas i meddelandefältet längst ned till höger på skärmen. För mer information om rensningsnivåer och beteende, se Rensning. Rensa och ta bort Om det inte finns någon fördefinierad åtgärd för skydd av filsystemet i realtid visas ett varningsfönster och du uppmanas att ange ett alternativ. Vanligen är alternativen Rensa, Ta bort och Ingen åtgärd tillgängliga. Vi rekommenderar inte att välja Ingen åtgärd eftersom detta lämnar infekterade filer orensade. Undantaget är när du är säker på att en fil är ofarlig och identifierades av misstag. Verkställ rensning om en fil har angripits av ett virus som har lagt till skadlig kod i filen. Om detta är fallet ska du först försöka rensa den infekterade filen så att den återgår till ursprungsläget. Om filen endast består av skadlig kod tas den bort. 37

38 Om en infekterad fil är låst eller används av en systemprocess tas den vanligtvis inte bort förrän den har släppts (normalt efter det att systemet har startats om). Flera hot Om en del infekterade filer inte rensades under Genomsökning av datorn (eller Rensningsnivå ställdes in på Ingen rensning) visas ett varningsfönster där du ombeds välja åtgärd för filerna. Ta bort filer i arkiv Ta bort filer i arkiv i standardläget tas hela arkivet endast bort om det bara innehåller infekterade filer och inga rena filer. I standardläget tas arkiv inte bort om de även innehåller ofarliga, rena filer. Var försiktig när du utför en genomsökning med Strikt rensning. Om Strikt rensning är aktiverat tas hela arkivet bort om det innehåller minst en infekterad fil, oavsett status för de andra filerna i arkivet. Om datorn visar tecken på att ha blivit infekterad av skadlig programvara, till exempel om den har blivit långsammare eller ofta låser sig, rekommenderar vi att du gör följande: Öppna ESET Endpoint Antivirus och klicka på Genomsökning av datorn. Klicka på Smart genomsökning (för mer information, se Genomsökning av datorn) När genomsökningen har slutförts visas antalet genomsökta, infekterade och rensade filer i loggen. Om du endast vill genomsöka en viss del av disken klickar du på Anpassad genomsökning och anger vad som ska genomsökas efter virus Delad lokal cache Delad lokal cache förbättrar prestanda i virtualiserade miljöer genom att eliminera dubblerad genomsökning i nätverket. På så vis säkerställs att varje fil endast genomsöks en gång och lagras i det delade cacheminnet. Aktivera Cache-alternativ om du vill spara information om genomsökningar av filer och mappar i nätverket till det lokala cacheminnet. Om du gör en ny genomsökning söker ESET Endpoint Antivirus efter genomsökta filer i cacheminnet. Om filer matchar undantas de från genomsökningen. Konfigurationen av Cache-server innehåller följande: Värdnamn namn på eller IP-adress för den dator där cacheminnet finns. Port numret på den port som används för kommunikation (samma som ställdes in i Delad lokal cache). Lösenord ange lösenordet för ESET:s delade lokala cache om så behövs. 38

39 Skydd av filsystemet i realtid Skydd av filsystemet i realtid kontrollerar alla antivirusrelaterade händelser i systemet. Alla filer genomsöks efter skadlig kod när de öppnas, skapas eller körs på datorn. Skydd av filsystemet i realtid startas vid systemstart. Som standard startar realtidsskyddet när systemet startar och ger oavbruten genomsökning. I särskilda fall (t.ex. om det uppstår konflikt med ett annat genomsökningsprogram som arbetar i realtid) kan realtidsskyddet inaktiveras genom att avmarkera alternativet Aktivera skydd av filsystemet i realtid i Avancerade inställningar under Skydd av filsystemet i realtid > Grundläggande. Media som ska genomsökas Som standard kontrolleras alla mediatyper efter potentiella hot: Lokala enheter kontrollerar alla hårddiskar i systemet. Flyttbara medier styr CD/DVD, USB-enheter, Bluetooth-enheter osv. Nätverksenheter genomsöker alla mappade enheter. Vi rekommenderar att du använder standardinställningarna och endast ändrar dem i speciella fall, till exempel om kontroll av vissa media gör att dataöverföring går betydligt långsammare. Genomsök vid Som standard genomsöks alla filer när de öppnas, skapas eller körs. Vi rekommenderar att behålla standardinställningarna eftersom de ger datorn ett maximalt realtidsskydd: Öppning av fil aktiverar eller inaktiverar genomsökning när filer öppnas. Skapande av fil aktiverar eller inaktiverar genomsökning när filer skapas. Körning av fil aktiverar eller inaktiverar genomsökning när filer körs. Åtkomst till flyttbara medier aktiverar eller inaktiverar genomsökning som utlöses av åtkomst till vissa flyttbara medier med lagringsutrymme. Skydd av filsystemet i realtid kontrollerar alla typer av media och utlöses av olika systemhändelser som t.ex. åtkomst till en fil. Med ThreatSense-teknikens detekteringsmetoder (beskrivs i avsnittet Parameterinställningar för ThreatSense-motorn) kan skydd av filsystemet i realtid konfigureras så att det hanterar nya filer på annat sätt än 39

40 befintliga filer. Det går till exempel att konfigurera skydd av filsystemet i realtid så att det övervakar nyskapade filer mer noga. För att använda så lite systemresurser som möjligt under realtidsskyddet kommer filer som redan genomsökts inte att genomsökas igen (om de inte har modifierats). Filerna genomsöks igen omedelbart efter varje uppdatering av detekteringsmotorn. Detta beteende kontrolleras med Smart optimering. Om Smart optimering är inaktiverat genomsöks filerna varje gång de används. Om du vill ändra inställningen trycker du på F5 för att öppna Avancerade inställningar och klickar på Detekteringsmotor > Skydd av filsystemet i realtid. Klicka på ThreatSense-parametrar > Annat och markera eller avmarkera Aktivera Smart optimering Ytterligare ThreatSense-parametrar Ytterligare ThreatSense-parametrar för filer som nyligen har skapats eller ändrats sannolikheten för att filer som nyligen skapats är infekterade är högre än för befintliga filer. Detta är orsaken till att programmet kontrollerar dessa filer med ytterligare genomsökningsparametrar. Tillsammans med vanliga signaturbaserade genomsökningsmetoder används även avancerad heuristik som kan upptäcka nya hot innan detekteringsmotorns uppdatering ges ut. Utöver nya skapade filer, utförs genomsökning i självuppackande filer (.sfx) och internt packade filer (internt komprimerade exekverbara filer). I standardläget genomsöks arkiv upp till 10:e nästlingsnivån och kontrolleras oavsett faktisk storlek. Ändra inställningarna för genomsökning av arkiv genom att inaktivera Standardinställningar för genomsökning av arkiv. Mer information om internt packade filer, självuppackande arkiv och avancerad heuristik finns i Parameterinställningar för ThreatSense-motorn. Ytterligare ThreatSense-parametrar för filer som har körts som standard används Avancerad heuristik när filer körs. När det används bör Smart optimering och ESET LiveGrid vara aktiverade så att systemets prestanda inte påverkas lika mycket Rensningsnivåer Realtidsskyddet har tre rensningsnivåer (öppna inställningarna för rensningsnivåer genom att klicka på Parameterinställningar för ThreatSense-motorn i avsnittet Skydd av filsystemet i realtid och klicka sedan på Rensning). Ingen rensning infekterade filer rensas inte automatiskt. Ett varningsfönster visas där användaren kan välja en åtgärd. Denna nivå är avsedd för mer avancerade användare som vet vilka åtgärder att vidta i händelse av infiltration. Vanlig rensning programmet försöker automatiskt rensa eller ta bort en infekterad fil baserat på en fördefinierad åtgärd (beroende på infiltrationstyp). När en infekterad fil identifieras och tas bort anges det i ett meddelande längst ned till höger på skärmen. Om det inte är möjligt att välja rätt åtgärd automatiskt ger programmet flera olika uppföljningsåtgärder. Samma sak händer om det inte går att utföra en fördefinierad åtgärd. Strikt rensning programmet rensar eller tar bort alla infekterade filer. Det enda undantaget är systemfiler. Om det inte är möjligt att rensa dem ombeds användaren att välja ett alternativ i ett varningsfönster. VARNING! Om ett arkiv innehåller en eller flera filer som är infekterade finns det två sätt att hantera arkivet. I standardläget (Standardrensning) tas hela arkivet bort om alla filer i arkivet är infekterade. I läget Strikt rensning tas arkivet bort om det innehåller minst en infekterad fil, oavsett status för andra filer i arkivet. 40

41 Kontroll av realtidsskyddet Du kan kontrollera att realtidsskyddet fungerar och identifierar virus med hjälp av en testfil från eicar.com. Den här testfilen är en ofarlig fil som identifieras av alla antivirusprogram. Filen skapades av företaget EICAR (European Institute for Computer Antivirus Research) för test av funktionaliteten i antivirusprogram. Det går att hämta filen från Ändring av konfiguration för realtidsskydd Realtidsskyddet av filsystemet är den viktigaste komponenten för att upprätthålla ett säkert system. Var alltid försiktig när dessa parametrar ändras. Vi rekommenderar att endast ändra dessa inställningar under vissa förutsättningar. Efter installation av ESET Endpoint Antivirus optimeras alla inställningar så att användarna får ett maximalt systemskydd. Om du vill återställa standardinställningarna klickar du på intill varje flik i fönstret (Avancerade inställningar > Detekteringsmotor > Skydd av filsystemet i realtid) Vad gör jag om realtidsskyddet inte fungerar? I detta kapitel beskrivs problem som kan uppstå när realtidsskyddet används och hur de felsöks. Realtidsskyddet har inaktiverats Om en användare har inaktiverat realtidsskyddet av misstag måste det aktiveras på nytt. Aktivera realtidsskyddet genom att navigera till Inställningar i programmets huvudfönster och klicka på avsnittet Skydd av filsystemet i realtid. Om realtidsskyddet inte startas samtidigt som datorn startas beror det troligen på att Starta skydd av filsystemet i realtid automatiskt har avmarkerats. Om du vill aktivera det här alternativet går du till Avancerade inställningar (F5) och klickar på Detekteringsmotor > Skydd av filsystemet i realtid > Grundläggande. Se till att Starta skydd av filsystemet i realtid automatiskt är aktiverat. Infiltreringar identifieras och rensas inte av realtidsskyddet Kontrollera att inga andra antivirusprogram är installerade på datorn. Om två realtidsskydd är aktiverade samtidigt kan de hamna i konflikt med varandra. Det rekommenderas att du avinstallerar alla andra antivirusprogram på datorn innan du installerar ESET. Realtidsskyddet startar inte Om realtidsskyddet inte startas när datorn startas (och Aktivera skydd av filsystemet i realtid har aktiverats) kan det bero på konflikter med andra program. Kontakta ESET Kundsupport om du vill ha hjälp med att lösa detta problem Genomsökning av datorn Skannern utgör en viktig del av ESET Endpoint Antivirus. Den används för att göra genomsökningar av filer och mappar på datorn. Av säkerhetsskäl är det mycket viktigt att genomsökningar av datorn inte endast utförs när en infektion misstänks, utan att de utförs regelbundet som en del av rutinåtgärder för säkerhet. Vi rekommenderar att göra regelbundna genomsökningar av systemet (exempelvis en gång i månaden) för att identifiera virus som inte upptäcks av Skydd av filsystemet i realtid. Detta kan inträffa om skydd av filsystemet i realtid är inaktiverat vid det tillfället, om detekteringsmotorn är inaktuell eller om filen inte identifieras som ett virus när den sparas till disk. Det finns två typer av genomsökning av datorn. Smart genomsökning genomsöker datorn snabbt utan ytterligare konfiguration av genomsökningsparametrarna. Anpassad genomsökning gör det möjligt att välja en fördefinierad genomsökningsprofil och ange genomsökningsobjekt. Se Genomsökningsförlopp för mer information om genomsökningprocessen. Genomsök datorn Smart genomsökning startar snabbt en genomsökning av datorn och rensa infekterade filer utan användaråtgärder. Fördelen med smart genomsökning är att den är enkel att använda och inte kräver en noggrann konfiguration av 41

42 genomsökningen. Smart genomsökning kontrollerar alla filer på alla lokala enheter och rensar eller tar bort identifierade infiltrationer. Rensningsnivån får automatiskt standardvärdet. Se Rensning om du vill ha mer information om olika typer av rensning. Anpassad genomsökning Anpassad genomsökning är en optimal lösning om du vill ange genomsökningsparametrar som genomsökningsobjekt och genomsökningsmetoder. Fördelen med Anpassad genomsökning är möjligheten att konfigurera parametrarna i detalj. Konfigurationerna går att spara som användardefinierade genomsökningsprofiler som kan vara användbara om en genomsökning upprepas med samma parametrar. Välj genomsökningsobjekt genom att välja Genomsökning av datorn > Anpassad genomsökning och välja rullgardinsmenyn Genomsökningsobjekt eller markera specifika mål i trädstrukturen. Ett genomsökningsobjekt går att ange genom att skriva in sökvägen till mappen eller filerna som ska inkluderas. Är du endast intresserad av att söka igenom systemet utan ytterligare rensningsåtgärder väljer du Genomsök utan rensning. När du utför en genomsökning kan du välja mellan tre rensningsnivåer genom att klicka på Inställningar... > ThreatSense-parametrar > Rensning. Genomsökning av datorn med Anpassad genomsökning rekommenderas för avancerade användare med tidigare erfarenhet av antivirusprogram. Du kan även använda funktionen Genomsökning med dra och släpp för att genomsöka en fil eller mapp manuellt genom att klicka på filen eller mappen, flytta muspekaren till det markerade området med musknappen nedtryckt och sedan släppa den. Därefter flyttas programmet fram till förgrunden. Genomsökning av flyttbara medier Liknar Smart genomsökning starta snabbt en genomsökning av flyttbara medier (som t.ex. CD/DVD/USB) som för tillfället är anslutna till datorn. Detta kan vara praktiskt när du ansluter en USB-flashenhet till en dator och vill genomsöka dess innehåll efter potentiell hot. Denna typ av genomsökning går även att starta genom att klicka på Anpassad genomsökning och sedan välja Flyttbara medier på rullgardinsmenyn Genomsökningsobjekt och klicka på Genomsök. Du kan använda Åtgärd efter genomsökning-listrutemenyn för att välja vilken åtgärd (ingen åtgärd, avstängning eller omstart) som ska utföras efter genomsökningen. Aktivera avstängning efter genomsökning aktiverar en schemalagd avstängning när genomsökning av datorn slutförts. Ett bekräftelsefönster öppnas och en nedräkning från 60 sekunder visas. Om du klickar på Avbryt inaktiveras den begärda avstängningen. OBS! Vi rekommenderar att utföra en genomsökning av datorn minst en gång i månaden. Det går att konfigurera genomsökning som en schemalagd aktivitet i Verktyg > Schemaläggaren Starta anpassad genomsökning Om du bara vill genomsöka ett visst målobjekt går det att använda Anpassad genomsökning genom att klicka på Genomsökning av datorn > Anpassad genomsökning och välja ett alternativ på rullgardinsmenyn Genomsökningsobjekt eller välja specifika målobjekt i trädstrukturen. Fönstret med genomsökningsobjekt gör det möjligt att definiera vilka objekt (minne, enheter, sektorer, filer och mappar) som ska genomsökas efter infiltrationer. Markera målobjekt i trädstrukturen som visar alla tillgängliga enheter på datorn. I rullgardinsmenyn Genomsökningsobjekt kan du välja fördefinierade genomsökningsobjekt. 42 Enligt profilinställningar väljer mål inställda i den valda genomsökningsprofilen. Flyttbara media väljer disketter, USB-enheter, CD/DVD. Lokala enheter kontrollerar alla hårddiskar i systemet. Nätverksenheter genomsöker alla mappade nätverksenheter. Ingen markering avbryter alla val.

43 Ange ett mål i det tomma fältet under mapplistan om du snabbt vill navigera till ett målobjekt eller lägga till en målmapp eller målfil/målfiler. Detta är endast möjligt om inga mål markerats i trädstrukturen och menyn Genomsökningsobjekt är inställd på Ingen markering. Infekterade objekt rensas inte automatiskt. En genomsökning utan rensning ger dig en översikt över aktuell skyddsstatus. Det går dessutom att ange en av tre rensningsnivåer genom att klicka på Avancerade inställningar > Detekteringsmotor > Genomsökning på begäran > ThreatSense-parametrar > Rensning. Är du endast intresserad av att söka igenom systemet utan ytterligare rensningsåtgärder väljer du Genomsök utan rensning. Genomsökningshistoriken sparas i genomsökningsloggen. När Ignorera undantag väljs genomsöks filerna med ändelser som tidigare undantogs från genomsökning utan undantag. Det går att välja en profil på rullgardinsmenyn Genomsökningsprofil som används till genomsökning av valda målobjekt. Standardprofilen är Smart genomsökning. Det finns ytterligare två fördefinierade genomsökningsprofiler kallade Djup genomsökning och Genomsökning med kontextmeny. Dessa genomsökningsprofiler använder olika ThreatSense-parametrar. De tillgängliga alternativen beskrivs i Avancerade inställningar > Detekteringsmotor > Genomsökningar efter skadlig kod > Genomsökning på begäran > ThreatSenseparametrar. Klicka på Genomsökning för att köra genomsökningen med inställda anpassade parametrar. Genomsök som administratör gör det möjligt att utföra genomsökningen med administratörskontot. Klicka här om den aktuella användaren inte har tillräcklig behörighet till filerna som ska genomsökas. Observera att den här knappen inte är tillgänglig om den aktuella användaren inte kan anropa UAC-åtgärder som administratör. OBS! Du kan visa loggen för genomsökning av datorn när en genomsökning är klar genom att klicka på Visa logg. 43

44 Genomsökningsförlopp Fönstret genomsökningsförlopp visar aktuell status för genomsökningen och information om antalet filer som innehåller skadlig kod. OBS! Det är normalt att en del filer, som lösenordsskyddade filer eller filer som endast används av systemet (typiskt pagef ile.sys och vissa loggfiler) inte går att genomsöka. Genomsökningsförlopp förloppsindikatorn visar statusen för genomsökta objekt i förhållande till det totala antal objekt som väntar på genomsökning. Genomsökningsförloppets status hämtas från det totala antalet objekt i genomsökningen. Mål namn på det objekt som skannas just nu och dess plats. Upptäckta hot visar det totala antalet hot som hittats under en genomsökning. Pausa pausar genomsökningen. Fortsätt detta alternativ visas när genomsökningen pausas. Klicka på Fortsätt för att fortsätta genomsökningen. Stopp avbryter genomsökningen. Bläddra i genomsökningsloggen om aktiverad bläddrar genomsökningsloggen ned automatiskt när nya poster läggs till så att de senaste är synliga. 44

45 Logg för genomsökning av datorn Loggen för genomsökning av datorn innehåller allmän information om genomsökningen, som till exempel: Version av detekteringsmotor Datum och tid för genomsökningen Genomsökta enheter, mappar och filer Antal genomsökta objekt Antal hittade hot Tid vid slutförande Total tid för genomsökning Enhetskontroll ESET Endpoint Antivirus ger kontroll över automatiska enheter (CD/DVD/USB/...). Denna modul gör det möjligt att blockera eller justera utökade filter/behörigheter och välja hur användaren får åtkomst till och arbetar med en viss enhet. Detta kan vara användbart om administratören vill förhindra användning av enheter med oönskat innehåll. Externa enheter som stöds: Disklagring (HDD, USB-minne) CD/DVD USB-skrivare FireWire-lagring Bluetooth-enhet Smartkortläsare Bildenhet Modem LPT/COM-port Flyttbar enhet Alla enhetstyper 45

46 Inställningarna för enhetskontroll går att ändra i Avancerade inställningar (F5) > Enhetskontroll. Om du aktiverar alternativet intill Integrering med systemet aktiveras funktionen Enhetskontroll i ESET Endpoint Antivirus. Du måste starta om datorn för att denna ändring ska träda i kraft. När Enhetskontroll aktiverats blir Reglerna aktiva och du kan öppna fönstret Regelredigerare. Om en enhet som blockeras av en befintlig regel ansluts öppnas ett meddelandefönster och åtkomst till enheten tillåts inte Regelredigerare för enhetskontroll Fönstret Regelredigerare för enhetskontroll visar befintliga regler för externa enheter och gör det möjligt att exakt styra externa enheter som användare ansluter till datorn. Det går att tillåta eller blockera specifika enheter efter användare, användargrupp eller någon annan av flera ytterligare parametrar som kan ställas in i regelkonfigurationen. Listan med regler innehåller flera beskrivningar av en regel, såsom namn, typ, åtgärd att utföra efter att en extern enhet anslutits till datorn och logga allvarlighet. Klicka på Lägg till eller Redigera för att hantera en regel. Avmarkera kryssrytan Aktiverad vid en regel om du vill inaktivera den tills du vill använda den i framtiden. Markera en eller flera regler och klicka på Ta bort om du vill ta bort den eller de reglerna permanent. Kopiera skapar en ny regel med förinställda alternativ som används av en annan vald regel. Klicka på alternativet Fyll i för att automatiskt populera parametrar för flyttbara mediaenheter anslutna till din dator. Regler listas i prioritetsordning, med högsta prioritet högst upp. Regler kan flyttas genom att du klickar på Överst/Upp/Ned/Underst och kan flyttas enskilt eller i grupper. I enhetsstyrningsloggen registreras alla händelser där enhetsstyrning utlösts. Loggposter går att visa i huvudprogramfönstret för ESET Endpoint Antivirus under Verktyg > Loggfiler. 46

47 Lägga till regler för enhetskontroll En regel för enhetskontroll definierar åtgärden som vidtas när en enhet som motsvarar villkoren ansluts till datorn. Ange en beskrivning av regeln i fältet Namn för enklare identifiering. Kryssrutan intill Regel aktiverad inaktiverar eller aktiverar denna regel. Detta är praktiskt om du inte vill ta bort regeln permanent. Använd under används för att tillämpa en skapad regel under en viss tid. Välj den skapade tidsplatsen i listrutan. Klicka här för mer information. Enhetstyp Välj extern enhetstyp på rullgardinsmenyn (Disklagring/Bärbar enhet/bluetooth/firewire/...). Informationen om enhetstyp hämtas från operativsystemet och visas i Enhetshanteraren om en enhet är ansluten till datorn. Lagringsenheter inkluderar externa diskar eller vanliga minneskortläsare anslutna med USB eller FireWire. Smartkortläsare inkluderar alla läsare för smarta kort med en inbyggd krets, såsom SIM-kort eller autentiseringskort. Exempel på bildenheter är skannrar eller kameror. Eftersom dessa enheter endast tillhandahåller information om sina åtgärder och inte om användare kan de endast blockeras globalt. OBS Användarlistfunktionen är inte tillgänglig för modemtypen. Regeln tillämpas för alla användare och den aktuella användarlistan tas bort. Åtgärd Åtkomst till icke-lagringsenheter går antingen att tillåta eller blockera. I motsats till det tillåter regler för lagringsenheter val av en av följande inställningar: Läs/skriv fullständig åtkomst till enheten tillåten. Blockera åtkomst till enheten blockeras. Skrivskyddad endast läsning från enheten är tillåten. Varna varje gång en enhet ansluts meddelas användaren om den är tillåten/blockerad och en post skrivs i loggen. Enheter koms inte ihåg, utan ett meddelande visas varje gång samma enhet ansluts igen. Observera att inte alla åtgärder (rättigheter) är tillgängliga för alla enhetstyper. Om det är en enhet av lagringstyp är alla fyra åtgärder tillgängliga. För icke-lagringsenheter finns det endast tre åtgärder tillgängliga (t.ex. är Skrivskyddad inte tillgänglig för Bluetooth, vilket innebär att det endast går att tillåta, blockera eller varna för 47

48 Bluetooth-enheter). Kriterietyp välj Enhetsgrupp eller Enhet. Det går att finjustera de ytterligare parametrar som visas nedan och anpassa dem för enheter. Alla parametrar är skiftlägesokänsliga: Leverantör filtrera enligt leverantörsnamn eller ID. Modell enhetens namn. Serienummer externa enheter har vanligen sina egna serienummer. För CD/DVD har skivan ett serienummer, inte CD-enheten. OBS! Om dessa parametrar inte definierats ignorerar regeln dessa fält vid matchning. Filtreringsparametrar i alla textfält är ej skiftlägeskänsliga och stöder inte jokertecken (*,?). TIPS Om du vill visa information om en enhet skapar du en regel för enhetstypen, ansluter enheten till datorn och kontrollerar enhetsinformationen i enhetsstyrningsloggen. Loggar allvarlighet Alltid alla händelser loggas. Diagnostik loggar information som behövs för att fininställa programmet. Informativ loggar alla informationsmeddelanden, inklusive framgångsrika uppdateringar och alla poster ovan. Varning registrerar kritiska fel och varningsmeddelanden och skickar dem till ERA Server. Inga inga loggar registreras. Det går att begränsa regler till vissa användare eller användargrupper genom att lägga till dem i Användarlista: Lägg till öppnar dialogfönstret Objekttyper: användare eller grupper som gör det möjligt att välja önskade användare. Ta bort tar bort markerad användare från filtret. OBS! Alla enheter kan inte filtreras med användarregler (exempelvis bildenheter lämnar ingen information om användare, endast om åtgärder) Flyttbara medier ESET Endpoint Antivirus ger automatisk genomsökning av flyttbara medier (CD/DVD/USB/...). Den här modulen gör det möjligt att genomsöka isatta media. Detta kan vara användbart om administratören vill förhindra användning av flyttbara medier med oönskat innehåll. Åtgärd att vidta efter isättning av flyttbara medier välj standardåtgärd att vidta när en flyttbar medieenhet sätts in i datorn (CD/DVD/USB). Om Visa genomsökningsalternativ väljs visas ett meddelande som låter dig välja en åtgärd: Genomsök inte ingen åtgärd vidtas och fönstret Ny enhet identifierad stängs. Automatisk genomsökning av enhet en genomsökning av den isatta flyttbara medieenheten utförs. Visa genomsökningsalternativ öppnar avsnittet Inställning av flyttbara medier. När ett flyttbart medium sätts in visas följande dialogruta: 48

49 Genomsök nu med det här alternativet utlöses en genomsökning av flyttbara medier. Genomsök senare genomsökning av flyttbara medier senareläggs. Inställningar öppnar Avancerade inställningar. Använd alltid valt alternativ när det här alternativet väljs utförs samma åtgärd när ett flyttbart medium sätts in en igen. ESET Endpoint Antivirus har dessutom funktionen Enhetskontroll som gör det möjligt att definiera regler för användning av externa enheter på en viss dator. Ytterligare information om Enhetskontroll finns i avsnittet Enhetskontroll Genomsökning vid inaktivitet Du kan aktivera genomsökning vid inaktivitet i Avancerade inställningar under Antivirus > Genomsökning vid inaktivitet > Grundläggande. Välj alternativet På för Aktivera genomsökning vid inaktivitet för att aktivera funktionen. När datorn är i inaktivt läge utförs en genomsökning av datorn på alla lokala enheter. I Utlösare för detektering av inaktivt tillständ finns en fullständig lista över de villkor som måste uppfyllas för att genomsökning vid inaktivt tillstånd ska utlösas. Som standard körs inte genomsökningen när en (bärbar) dator går på batteri. Du kan åsidosätta denna inställning genom att aktivera alternativet intill Kör även om datorn är batteridriven i Avancerade inställningar. Välj Aktivera loggning i Avancerade inställningar för att registrera resultatet av genomsökning av datorn i avsnittet Loggfiler (klicka på Verktyg > Loggfiler i programmets huvudfönster och välj Genomsökning av datorn i listrutan Logg. Detektering av inaktivt tillstånd körs när datorn befinner sig i följande tillstånd: Skärmen eller skärmsläckaren stängs av Datorlås Användarutloggning Klicka på Parameterinställningar för ThreatSense-motorn om du vill ändra genomsökningsparametrarna (t.ex. detekteringsmetoder) för genomsökning vid inaktivitet Självskyddet HIPS (Host Intrusion Prevention System) VARNING! Endast en erfaren användare bör ändra inställningarna för HIPS. Felaktig konfiguration av HIPS-inställningar kan leda till systeminstabilitet. Host-based Intrusion Prevention System (HIPS) skyddar systemet mot skadlig kod och oönskad aktivitet oönskad aktivitet som försöker att påverka datorn negativt. HIPS använder avancerad beteendeanalys tillsammans med detekteringsfunktioner i nätverksfilter för att övervaka aktiva processer, filer och registernycklar. HIPS är åtskilt från skydd av filsystemet i realtid och är inte en brandvägg. Den övervakar endast processer som körs i operativsystemet. HIPS finns i Avancerade inställningar (F5) > Antivirus > HIPS > Grundläggande. HIPS läge (aktiverat/inaktiverat) visas i huvudprogramfönstret för ESET Endpoint Antivirus under Inställningar > Dator. 49

50 ESET Endpoint Antivirus använder den inbyggda självskyddstekniken i HIPS för att förhindra att skadlig programvara skadar eller inaktiverar skyddet mot virus och spionprogram. Självskyddet ser till att viktiga system och ESET:s processer, registernycklar och filer inte manipuleras. Avancerad minnesskanner fungerar i kombination med Kryphålsblockering för att stärka skyddet mot skadlig programvara som har utformats för att kringgå detekteringen genom skadlig programvara vid användning av förvridning eller kryptering. Avancerad minnesskanner är aktiverad som standard. Läs mer om den här skyddstypen i ordlistan. Kryphålsskyddet är utformat för att förstärka ofta exploaterade programtyper, såsom webbläsare, PDF-läsare, epostklienter och MS Office-komponenter. Kryphålsskyddet är aktiverat som standard. Läs mer om den här skyddstypen i ordlistan. Sköld mot ransomware är ännu ett skyddslager som ingår i HIPS-funktionen. För att skölden mot ransomware ska fungera måste LiveGrid -ryktessystemet vara aktiverat. Läs mer om den här skyddstypen här. Filtrering utförs med ett av fyra lägen: Automatiskt läge åtgärder aktiverade, utom sådana som blockeras av fördefinierade regler som skyddar systemet. Smart läge användaren meddelas endast om misstänkta händelser. Interaktivt läge användaren ombeds bekräfta åtgärder. Policybaserat läge åtgärder blockeras. Inlärningsläge åtgärder aktiverade och en regel skapas efter varje åtgärd. Regler skapade i detta läge går att visa i Regelredigeraren, men deras prioritet är lägre än för regler som skapas manuellt eller i automatiskt läge. När du väljer Inlärningsläge i listrutan HIPS-filtreringsläge blir inställningen Inlärningsläget kommer att avslutas den tillgänglig. Välj hur länge du vill att inlärningsläget ska pågå (högst 14 dagar). När den angivna tiden gått ut ombeds du att redigera de regler som skapats av HIPS medan det befann sig i inlärningsläget. Du kan även välja ett annat filtreringsläge eller senareläge beslutet och fortsätta använda inlärningsläget. 50

51 Läge inställt efter inlärningslägets utgång ange vilket filtreringsläge ESET Endpoint Antivirus-brandväggen ska återgå till när tiden för inlärningsläge har gått ut. HIPS-systemet övervakar händelser inne i operativsystemet och reagerar enligt reglerna som liknar reglerna för brandväggen. Klicka på Redigera för att öppna HIPS regelhanteringsfönster. Här går det att välja, skapa, redigera och ta bort regler. I följande exempel visar vi hur oönskat beteende i program begränsas: 51

52 Namnge regeln och välj Blockera från rullgardinsmenyn Åtgärd. Välj minst en åtgärd för regeln i avsnittet Åtgärder som påverkar. Välj Logga allvarlighet i listrutan. Poster med omfånget Varning kan samlas in av Remote Administrator. Aktivera skjutreglaget bredvid Meddela användare för att visa ett meddelande när regeln tillämpas. Klicka på Nästa. 5. I fönstret Källprogram väljer du Alla program i listrutan om du vill tillämpa den nya regeln för alla program som försöker utföra någon av de valda programåtgärderna. Klicka på Nästa. 6. I följande fönster aktiverar du skjutreglaget bredvid Ändra läge för annat program och klickar på Nästa (alla åtgärder beskrivs i produktens hjälp som öppnas genom att trycka på tangenten F1). 7. Välj Specifika program i listrutan och klicka på Lägg till för att lägga till ett eller flera program du vill blockera. 8. Klicka på Slutför för att spara den nya regeln Avancerade inställningar Följande alternativ är användbara för felsökning och analys av ett programs beteende: Drivrutiner får alltid läsas in valda drivrutiner får alltid läsas in oavsett konfigurerat filtreringsläge om inte detta uttryckligen blockeras av en användarregel. Logga alla blockerade åtgärder alla blockerade åtgärder skrivs till HIPS-loggen. Meddela när ändringar äger rum i startprogram visar ett meddelande på skrivbordet varje gång ett program läggs till eller tas bort från systemstart. I vår kunskapsbas kan du läsa en uppdaterad version av denna hjälpsida. 52

53 HIPS interaktivt fönster Om en standardåtgärd för en regel ställs in till Fråga visas en dialogruta varje gång regeln utlöses. Du kan välja att Neka eller Tillåta åtgärden. Om du inte väljer en åtgärd inom angiven tid, väljs en ny åtgärd baserad på reglerna. Dialogrutan gör det möjligt att skapa en regel baserad på en ny åtgärd som HIPS identifierar och sedan definiera villkoren under vilka åtgärden tillåts eller avvisas. Inställningarna för de exakta parametrarna går att öppna genom att klicka på Mer info. Regler som skapas på detta sätt är likvärdiga med regler som skapas manuellt, vilket innebär att regeln som skapas i ett dialogfönster kan vara mindre specifik är regeln som utlöste dialogfönstret. Detta betyder att när en sådan regel skapas, utlöser samma åtgärd samma fönster. Kom ihåg åtgärd för denna process temporärt orsakar att åtgärden (Tillåt/Neka) används tills regler eller filtreringslägen ändras, HIPS-modulen uppdateras eller systemet startas om. Efter någon av dessa tre åtgärder tas temporära regler bort Ett potentellt ransomware-beteende upptäcktes Det här interaktiva fönstret visas när ett potentellt ransomware-beteende upptäcks. Du kan välja att Neka eller Tillåta åtgärden. I det här dialogfönstret kan du skicka in filen för analys eller undanta den från detektering. Klicka på Information om du vill visa specifika detekteringsparametrar. VIKTIGT! ESET Live Grid måste vara aktiverat för att skyddet mot ransomware ska fungera korrekt. 53

54 Presentationsläge Presentationsläge är en funktion för användare som kräver oavbruten användning av sina program och inte vill bli störda av popup-fönster och vill minska belastningen på processorn. Presentationsläge går även att använda under presentationer som inte får störas av antivirusaktiviteter. När läget väljs inaktiveras alla popup-fönster och schemalagda aktiviteter körs inte. Systemskyddet körs fortfarande i bakgrunden men kräver inte användaråtgärder. Klicka på Inställningar > Dator och välj Presentationsläge för att aktivera presentationsläget manuellt. I Avancerade inställningar (F5) klickar du på Verktyg > Presentationsläge och väljer Aktivera presentationsläge automatiskt vid körning av program i helskärmsläge för att försätta ESET Endpoint Antivirus i presentationsläge automatiskt när program körs i helskärmsläge. Aktivering av presentationsläget är en potentiell säkerhetsrisk och skyddsstatusikonen i aktivitetsfältet blir orange och visar en varning. Du ser även denna varning i programmets huvudfönster där Presentationsläge aktiverat visas i orange. När Aktivera presentationsläge automatiskt när program körs i helskärmsläge väljs startar presentationsläget när du startar ett program i helskärm och avslutas automatiskt när du stänger programmet. Detta är användbart för att starta presentationsläget direkt efter att ett spel startar, ett program i helskärm öppnas eller när en presentation startar. Du kan även välja Inaktivera presentationsläge automatiskt efter för att ange efter hur lång tid i minuter som presentationsläget ska inaktiveras automatiskt Startskanner Automatisk kontroll av filer som startas utförs som standard när systemet startar eller vid moduluppdateringar. Denna genomsökning beror på Schemaläggarens konfiguration och aktiviteter. Genomsökningsalternativen vid start är en del av den schemalagda aktiviteten Kontroll av filer som startas automatiskt. Ändra inställningarna för startskannern genom att navigera till Verktyg > Schemaläggaren, klicka på Kontroll av filer som startas automatiskt och sedan på Redigera. I det sista steget öppnas fönstret Kontroll av filer som startas automatiskt (se följande kapitel för ytterligare information). Ytterligare information om att skapa och hantera schemalagda aktiviteter finns i Skapa nya aktiviteter Kontroll av filer som startas automatiskt När du skapar den schemalagda aktiviteten Kontroll av filer som startas automatiskt, finns flera alternativ att justera följande parametrar: Rullgardinsmenyn Genomsökningsobjekt anger genomsökningsdjupet för filer som körs vid systemstart baserat på en hemlig sofistikerad algoritm. Filer ordnas i fallande ordning enligt följande villkor: Alla registrerade filer (flest genomsökta filer) Filer som används sällan Filer som används relativt ofta Filer som används ofta Endast de mest använda filerna (minst antal genomsökta filer) Även två specifika grupper inkluderas: Filer som körs innan användaren loggar in innehåller filer från platser som tillåter åtkomst utan att användaren är inloggad (inkluderar nästan alla startplatser som tjänster, webbläsartillägg, winlogon-meddelande, Windows schemaläggarposter, kända dll-filer osv.) Filer som körs när användaren har loggat in - innehåller filer från platser som endast tillåter åtkomst när användaren är inloggad (inkluderar filer som endast körs för en viss användare, typiskt filer i HKEY_CURRENT_USER\SOFTWARE\Microsof t\windows\currentversion\run) Lista med filer som genomsöks är fast för varje tidigare nämnd grupp. 54

55 Genomsökningsprioritet prioritetsnivå som avgör när en genomsökning startar: Vid inaktivitet aktiviteten utförs endast när systemet är inaktivt, Lägst när systemets belastning är den lägsta möjliga, Lägre vid en låg systembelastning, Normal vid genomsnittlig systembelastning Dokumentskydd Dokumentskyddsfunktionen genomsöker Microsoft Office-dokument innan de öppnas, samt filer som hämtats automatiskt av Internet Explorer, som t.ex. Microsoft ActiveX-kontroller. Dokumentskydd tillhandahåller ett skyddslager utöver skydd av filsystemet i realtid och går att inaktivera för att förbättra prestanda på system som inte hanterar stora mängder Microsoft Office-dokument. Integrering med systemet aktiverar skyddet. Ändra detta alternativ genom att trycka på F5 för att öppna fönstret Avancerade inställningar och klicka på Antivirus > Dokumentskydd i trädet Avancerade inställningar. Funktionen aktiveras av program som använder Microsoft Antivirus API (t.ex. Microsoft Office 2000 och senare eller Microsoft Internet Explorer 5.0 och senare) Undantag Det här avsnittet undantar filer och mappar från genomsökning. För att säkerställa att alla objekt genomsöks efter hot rekommenderar vi att du bara skapar undantag när det är absolut nödvändigt. Situationer där du kan behöva undanta ett objekt kan exempelvis vara genomsökning av stora databasposter som skulle göra datorn långsam under en genomsökning eller programvara som står i konflikt med genomsökningen (exempelvis säkerhetskopieringsprogram). Undanta ett objekt från genomsökning: 1. Klicka på Lägg till, 2. Ange sökvägen till ett objekt eller välj det i trädstrukturen. Använd jokertecken för att undanta en grupp filer. Ett frågetecken (?) motsvarar ett tecken med en variabel, medan en asterisk (*) motsvarar en variabelsträng på noll eller fler tecken. Exempel Vill du utesluta alla filer i en mapp anger du sökvägen till mappen och använder masken *.*. Uteslut en hel enhet med alla filer och undermappar med masken D:\*. Vill du endast vill doc-filer använder du masken *.doc. Om namnet på en körbar fil har ett visst antal tecken (och tecknen varierar), och du endast är säker på det första ( D, till exempel) använder du följande format: D????.exe. Frågetecken ersätter de tecken som saknas. 55

56 OBS! Ett hot inom en fil detekteras inte av realtidsskyddsmodulen eller datorgenomsökningsmodulen om en fil uppfyller kriterierna för uteslutande från genomsökning. Kolumner Sökväg sökväg till undantagna filer och mappar. Hot om namnet på ett hot visas bredvid en undantagen fil betyder detta att filen endast är undantagen för det angivna hotet. Om den filen infekteras med annan skadlig kod vid ett senare tillfälle kommer denna skadliga kod att detekteras av antivirusmodulen. Den här typen av undantag kan endast användas för vissa typer av infiltrationer och kan skapas antingen i varningsfönstret som visar hotet/infiltrationen (klicka på Visa avancerade alternativ och välj sedan Undanta från detektering), eller genom att klicka på Verktyg > Karantän, högerklicka på filen i karantän och sedan välja Återställ och exkludera från genomsökning som finns i kontextmenyn. Kontrollelement Lägg till undantar objekt från genomsökning. Redigera redigerar valda poster. Ta bort tar bort valda poster ThreatSense-parametrar ThreatSense är en teknik som består av många avancerade hotidentifieringsmetoder. ThreatSense är en proaktiv metod vilket innebär att den kan skydda datorn mot tidig spridning av ett nytt hot. Genom att kombinera kodanalys, kodemulering, generiska signaturer, virussignaturer och använda dem tillsammans ökas systemsäkerheten avsevärt. Genomsökningsmotorn kan kontrollera flera dataströmmar samtidigt vilket maximerar effektiviteten och upptäcktsfrekvensen. ThreatSense-tekniken eliminerar även framgångsrikt rootkits. Med alternativen för inställning av ThreatSense-motorn går det att ange ett antal olika genomsökningsparametrar: Filtyper och tillägg som genomsöks, En kombination av olika identifieringsmetoder, Rensningsnivåer, osv. 56

57 Öppna inställningsfönstret genom att klicka på Parameterinställningar för ThreatSense-motorn i fönstret Avancerade inställningar för de moduler som använder ThreatSense-teknik (se nedan). Olika säkerhetsscenarier kan kräva olika konfigurationer. Det går därmed att individuellt konfigurera följande skyddsmoduler i ThreatSense: Skydd av filsystemet i realtid, Genomsökning vid inaktivitet, Startskanner, Dokumentskydd, Skydd av e-postklient, Webbåtkomstskydd, Genomsökning av datorn. ThreatSense-parametrarna är starkt optimerade för varje modul och ändringar av dem kan märkbart påverka systemets funktion. Att till exempel ändra parametrarna så att internt packade filer alltid söks igenom eller att aktivera avancerad heuristik i modulen för skydd av filsystemet i realtid kan resultera i att systemet blir långsammare (normalt används dessa metoder endast för genomsökning av nyskapade filer). Vi rekommenderar att lämna ThreatSense standardparametrar oförändrade för alla moduler utom för genomsökningsmodulen. Objekt som ska genomsökas I det här avsnittet går det att definiera vilka komponenter och filer på datorn som genomsöks efter infiltrationer. Arbetsminne söker efter hot som angriper systemets arbetsminne. Startsektorer/UEFI genomsöker startsektorer och UEFI efter rootkit, bootkit och annan skadlig kod. Klicka här för mer information. E-postfiler programmet stöder följande filnamnstillägg: DBX (Outlook Express) och EML. Arkiv programmet stöder följande filnamnstillägg: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE samt många fler. Självuppackande arkiv självuppackande arkiv (SFX) är arkiv som inte behöver några särskilda program arkiv för att dekomprimeras. Internt packade filer när internt packade filer (till skillnad från standardarkivtyper) körs dekomprimeras de i minnet. Förutom statiska arkiverare av standardtyp (UPX, yoda, ASPack, FSG osv.) känner skannern igen många fler typer av arkiverare genom kodemulering. Genomsökningsalternativ Välj vilka metoder som ska användas för att söka efter infiltrationer i systemet. Följande alternativ finns tillgängliga: Heuristik heuristik är en algoritm som analyserar (skadliga) aktiviteter i program. Huvudfördelen med tekniken är möjligheten att identifiera skadlig programvara som inte fanns eller som inte var känd av den tidigare detekteringsmotorn. Nackdelen är (en mycket liten) risk för falska larm. Avancerad heuristik/dna/smarta signaturer avancerad heuristik består av en unik heuristikalgoritm som utvecklats av ESET och som optimerats för att upptäcka datormaskar och trojanska hästar som skrivits på programmeringsspråk på hög nivå. Genom att använda avancerad heuristik blir ESET-produkterna bättre på att detektera hot. Signaturer används för att pålitligt detektera och identifiera virus. Med det automatiska uppdateringssystemet är nya signaturer tillgängliga inom några timmar efter att ett hot identifierades. Nackdelen med signaturer är att de bara detekterar virus de känner till (eller lätt ändrade versioner av dessa virus). Ett potentiellt oönskat program är ett program som innehåller reklamprogram, installerar verktygsfält eller har andra oklara mål. Det finns vissa situationer där en användare kan anse att fördelarna med ett potentiellt oönskat program väger tyngre än riskerna. Därför tilldelar ESET sådana program en lägre riskkategori jämfört med andra typer av skadliga program, som trojaner eller maskar. Varning potentiellt hot hittades När ett potentiellt oönskat program upptäcks får du välja vilken åtgärd som ska vidtas: 57

58 1. Rensa/Koppla från: Med det här alternativet avslutas åtgärden och det potentiella hotet hindras från att ta sig in i systemet. 2. Ingen åtgärd: Detta alternativ tillåter att ett potentiellt hot kommer in i ditt system. 3. Om du vill tillåta att programmet körs obehindrat på datorn i fortsättningen klickar du på Mer info/visa avancerade alternativ och markerar sedan kryssrutan intill Undanta från detektering. När ett potentiellt oönskat program upptäcks och inte kan rensas visas meddelandefönstret Adressen har blockerats i skärmens nedre högra hörn. För mer information om den här händelsen går du till Verktyg > Loggfiler > Filtrerade webbplatser från huvudmenyn. Potentiellt oönskade program inställningar När ESET-produkten installeras kan du välja om du vill aktivera detektering av potentiellt oönskade program enligt nedan: 58

59 VARNING! Potentiellt oönskade program kan installera reklamprogram, verktygsfält eller andra oönskade och osäkra programfunktioner. Dessa inställningar kan ändras i programinställningarna när som helst. Om du vill aktivera eller inaktivera detekteringen av potentiellt oönskade, osäkra eller misstänkta program följer du dessa anvisningar: 1. Öppna ESET-produkten. Hur öppnar jag min ESET-produkt? 2. Tryck på F5 för att komma åt Avancerade inställningar. 3. Klicka på Antivirus och aktivera eller inaktivera alternativen Aktivera detektering av potentiellt oönskade program, Aktivera detektering av potentiellt osäkra program och Aktivera detektering av misstänkta program enligt dina preferenser. Bekräfta genom att klicka på OK. Potentiellt oönskade program software wrappers En software wrapper är en särskilt typ av programmodifiering som används av vissa fildelningsplatser. Det är ett verktyg från tredje part som installerar programmet du avsåg att hämta, men även ytterligare programvara som verktygsfält eller reklamprogram. Den ytterligare programvaran kan även ändra webbläsarens startsida och sökinställningar. Dessutom meddelar fildelningsplatser ofta inte programleverantören eller den som hämtar programmet om att modifieringar gjorts och gör det svårt att välja bort modifieringen. Därför klassificerar ESET software wrappers som en typ av potentiellt oönskat program, så att användare kan välja om hämtningen ska godkännas eller inte. Läs följande artikel i ESET kunskapsbas för en uppdaterad version av denna hjälpsida. För mer information, klicka här. Potentiellt farliga program potentiellt farliga program är den klassificering som används för kommersiella, legitima program, som exempelvis verktyg för fjärråtkomst, program som spårar lösenord och keylogger-program (program som registrerar varje tangent användaren trycker ned). Det här alternativet är inaktivt som standard. Rensning Inställningarna för rensning anger hur skannern fungerar under rensning av infekterade filer. Det finns tre rensningsnivåer: Ingen rensning infekterade filer rensas inte automatiskt. Ett varningsfönster visas där användaren kan välja en 59

60 åtgärd. Denna nivå är avsedd för mer avancerade användare som vet vilka åtgärder att vidta i händelse av infiltration. Vanlig rensning programmet försöker automatiskt rensa eller ta bort en infekterad fil baserat på en fördefinierad åtgärd (beroende på infiltrationstyp). När en infekterad fil identifieras och tas bort anges det i ett meddelande längst ned till höger på skärmen. Om det inte är möjligt att välja rätt åtgärd automatiskt ger programmet flera olika uppföljningsåtgärder. Samma sak händer om det inte går att utföra en fördefinierad åtgärd. Strikt rensning programmet rensar eller tar bort alla infekterade filer. Det enda undantaget är systemfiler. Om det inte är möjligt att rensa dem ombeds användaren att välja ett alternativ i ett varningsfönster. VARNING! Om ett arkiv innehåller en eller flera filer som är infekterade finns det två sätt att hantera arkivet. I standardläget (Standardrensning) tas hela arkivet bort om alla filer i arkivet är infekterade. I läget Strikt rensning tas arkivet bort om det innehåller minst en infekterad fil, oavsett status för andra filer i arkivet. Undantag En filändelse är den del av filnamnet som kommer efter punkten. Ett filändelse definierar filens typ och innehåll. I avsnittet för ThreatSense-parameterinställningar går det att definiera vilken typ av filer som ska genomsökas. Annat Vid konfigurering av parameterinställningarna för ThreatSense-motorn för genomsökning av datorn på begäran är följande alternativ i avsnittet Annat också tillgängliga: Genomsök alternativa dataströmmar (ADS) de alternativa dataströmmarna som används av filsystemet NTFS består av fil- och mappassociationer som inte är synliga för vanliga genomsökningsmetoder. Många infiltrationsförsök maskerar sig som alternativa dataströmmar för att undvika upptäckt. Kör genomsökningar i bakgrunden med låg prioritet varje genomsökningssekvens kräver en viss mängd systemresurser. Om du arbetar med program som kräver mycket systemresurser kan du aktivera genomsökning i bakgrunden med låg prioritet och spara resurser till dina program. Logga alla objekt om detta alternativ är markerat visar loggfilen alla genomsökta filer, även sådana som inte är infekterade. Om en infiltration till exempel hittas i ett arkiv, visar loggen även rena filer i arkivet. Aktivera Smart optimering med aktiverad smart optimering används de optimala inställningarna för effektivast genomsökning och bibehåller samtidigt den högsta genomsökningshastigheten. De olika skyddsmodulerna genomsöker intelligent och använder olika genomsökningsmetoder och tillämpar dem på vissa filtyper. Om smart optimering är inaktiverad tillämpas endast de användardefinierade inställningarna i ThreatSense-kärnan när en genomsökning utförs. Bevara tidsstämpeln för senaste åtkomst markera det här alternativet om du vill behålla den ursprungliga åtkomsttiden för genomsökta filer i stället för att uppdatera dem (t.ex. för användning med system för säkerhetskopiering av data). Begränsningar Under Begränsningar kan du ange en maximal storlek på objekt och nivåer på de nästlade arkiv som ska genomsökas: Objektinställningar Maximal objektstorlek anger maximal storlek på objekt som ska genomsökas. Den angivna antivirusmodulen kommer endast att genomsöka objekt som är mindre än den angivna storleken. Alternativet ska endast ändras av avancerade användare som kan ha särskilda anledningar till att undanta större objekt från genomsökning. Standardvärde: obegränsat Maximal tid för genomsökning av objekt (sek.) definierar maximal tid som tilldelas för genomsökning av ett objekt. Om användaren har angett ett värde här kommer antivirusmodulen att sluta genomsöka ett objekt när den angivna tiden förflutit, oavsett om genomsökningen avslutats eller inte. Standardvärde: obegränsat 60

61 Inställningar för genomsökning av arkiv Antal nästlade arkiv anger maximalt djup vid arkivgenomsökningen. Standardvärde: 10. Maximal filstorlek i arkivet ange maximal filstorlek för filer i arkiven (efter att de extraherats) som genomsöks. Standardvärde: obegränsat OBS! Vi rekommenderar inte att ändra standardvärdena, eftersom det i regel inte finns någon anledning att ändra dem Undantag En filändelse är den del av filnamnet som kommer efter punkten. Ett tillägg definierar filens typ och innehåll. I avsnittet ThreatSense parameterinställningar går det att definiera vilken typ av filer som ska genomsökas. Som standard genomsöks alla filer. Det går att lägga till vilket tillägg som helst i listan över filer som undantas för genomsökning. Det är ibland nödvändigt att undanta vissa filtyper från genomsökning om detta förhindrar att programmet som använder vissa filnamnstillägg fungerar normalt. Det kan till exempel vara lämpligt att undanta filer med tilläggen.edb,.eml och.tmp när MS Exchange server används. Med hjälp av knapparna Lägg till och Ta bort kan du tillåta eller förhindra genomsökning av filer med specifika filändelser. Om du vill lägga till en ny filändelse i listan klickar du på Lägg till, skriver filändelsen i det tomma fältet och klickar på OK. När du väljer Ange flera värden kan du lägga till flera filändelser avgränsade med rader, kommatecken eller semikolon. När flerval aktiveras visas filändelserna i listan. Välj en filändelse i listan och klicka sedan på Ta bort om du vill ta bort den från listan. Om du vill redigera en vald filändelse klickar du på Redigera. Specialtecknen? (frågetecken) går att använda. På menyn frågetecknet motsvarar alla tecken. OBS! Om du vill visa ändelsen (filtypen) för alla filer i ett Windows-operativsystem avmarkerar du Dölj filnamnstillägg för kända filtyper under Kontrollpanelen > Mappalternativ > Visning. 61

62 3.9.2 Webb och e-post Webb- och e-postkonfigurationen finns under Inställningar > Webb och e-post. Här finns även programmets detaljerade inställningar. Möjligheten att ansluta till Internet är en standardfunktion i datorer. Det är tyvärr även huvudvägen för att överföra skadlig kod. På grund av detta är det viktigt att du tänker på ditt Webbåtkomstskydd. Skydd av e-postklient kontrollerar e-postkommunikation som sker med POP3- och IMAP-protokollet. Med pluginprogrammet för e-postklienter ger ESET Endpoint Antivirus användaren kontroll över alla typer av kommunikation från e-postklienten (POP3, IMAP, HTTP, MAPI). Skydd mot nätfiske är ännu ett skyddslager som ger bättre försvar mot bedrägliga webbplatser som försöker hämta lösenord eller annan känslig information. Skydd mot nätfiske finns i fönstret Inställningar under Webb och e-post. Se Skydd mot nätfiske för mer information. Inaktivera om du väljer det här alternativet inaktiveras webb-/e-post- för webbläsare och e-postklienter Protokollfiltrering Antivirusskydd för programprotokollen tillhandahålls av ThreatSense genomsökningsmotor som sömlöst integrerar alla avancerade genomsökningsmetoder för skadlig programvara. Protokollfiltreringen sker automatiskt oavsett vilken webbläsare eller e-postklient som används. För att redigera krypterade inställningar (SSL) går du till Webb och e-post > SSL. Aktivera innehållsfiltrering av programprotokoll kan användas för att inaktivera protokollfiltrering. Observera att många ESET Endpoint Antivirus-komponenter (webbåtkomstskydd, e-postprotokollskydd, skydd mot nätfiske, webbkontroll) är beroende av detta och kanske inte fungerar utan det. Undantagna program gör så att du kan undanta specifika program från protokollfiltrering. Användbart när protokollfiltrering orsakar kompatibilitetsproblem. 62

63 Undantagna IP-adresser gör så att du kan undanta specifika fjärradresser från protokollfiltrering. Användbart när protokollfiltrering orsakar kompatibilitetsproblem. Webbläsare och e-postklienter används endast i Windows XP-operativsystem och gör så att du kan välja program för vilka trafik ska filtreras genom protokollfiltrering, oavsett vilka portar som används Webbläsare och e-postklienter OBS! Den nya WFP-arkitekturen (Windows Filtering Platform) börjar med Windows Vista Service Pack 1 och Windows Server 2008 och används för att kontrollera nätverkskommunikationen. Eftersom WFP-teknik använder särskild övervakningsteknik är avsnittet Webbläsare och e-postklienter inte tillgängligt. Eftersom enorma mängder skadlig kod cirkulerar på webben är säkert surfande på Internet en väldigt viktig del av datorskydd. Sårbarheter hos webbläsare och försåtliga länkar gör att skadlig kod kan komma in i systemet utan att märkas, vilket är skälet till att ESET Endpoint Antivirus fokuserar på webbläsarsäkerhet. Varje program som har åtkomst till nätverket kan markeras som en webbläsare. Program som redan använt protokoll för kommunikation eller program från den valda sökvägen kan läggas till i listan över webbläsare och e-postklienter Undantagna program Lägg till i den här listan vilka nätverksmedvetna program vars kommunikation ska undantas från protokollfiltrering. De valda programmens HTTP/POP3/IMAP-kommunikation kontrolleras inte. Den här tekniken bör endast användas om program inte fungerar korrekt med protokollfiltrering aktiverat. Program och tjänster som redan var påverkade av protokollfiltrering visas automatiskt när du klickar på Lägg till. Redigera redigera valda poster i listan. Ta bort tar bort valda poster från listan. 63

64 Undantagna IP-adresser IP-adresser i den här listan undantas från innehållsfiltrering av protokoll. HTTP/POP3/IMAP-kommunikation från/till de valda adresserna kontrolleras inte. Vi rekommenderar att du endast använder detta alternativ för adresser som är kända som trovärdiga. Lägg till klicka på detta för att lägga till en IP-adress/adressintervall/undernät till en fjärrpunkt på vilken du vill använda regeln. Redigera redigera valda poster i listan. Ta bort tar bort valda poster från listan SSL/TLS ESET Endpoint Antivirus kan söka efter hot i kommunikation som använder SSL-protokollet. Det går att använda olika genomsökningslägen för att undersöka SSL-skyddad kommunikation med betrodda certifikat, okända certifikat eller certifikat som är undantagna från kontroll av SSL-skyddad kommunikation. Aktivera SSL/TLS-protokollfiltrering om protokollfiltrering inaktiveras genomsöks inte kommunikation över SSL. Filtreringsläge för SSL/TLS-protokoll finns i följande alternativ: Automatiskt läge välj detta alternativ för att genomsöka all SSL-skyddad kommunikation utom kommunikation skyddad av certifikat undantagna från kontroll. Om ny kommunikation upprättas som använder ett okänt, signerat certifikat, meddelas du inte om detta och kommunikationen filtreras automatiskt. När du öppnar en server med ett obetrott certifikat som markerats som betrott (det finns i listan betrodda certifikat), tillåts kommunikation med servern och innehållet i kommunikationskanalen filtreras. Interaktivt läge om du anger en ny SSL-skyddad plats (med ett okänt certifikat) visas en dialogruta med åtgärdsalternativ. Detta läge gör det möjligt att skapa en lista med SSL-certifikat som undantas från genomsökning. Listan över SSL/TLS-filtrerade program kan användas för att anpassa hur ESET Endpoint Antivirus ska bete sig för specifika program Lista över kända certifikat används för att anpassa hur ESET Endpoint Antivirus ska bete sig för specifika SSLcertifikat. Undanta kommunikation med betrodda domäner domäners pålitlighet fastställs av en inbyggd vitlista. Blockera krypterad kommunikation med hjälp av det föråldrade SSL v2-protokollet kommunikation som använder en tidigare version av SSL-protokollet kommer automatiskt att blockeras. 64

65 Rotcertifikat Rotcertifikat för att SSL-kommunikation ska fungera korrekt i webbläsare/e-postklienter är det viktigt att rotcertifikatet för ESET läggs till i listan över kända rotcertifikat (utgivare). Lägg till rotcertifikatet till kända webbläsare ska vara aktiverat. Markera det här alternativet för att automatiskt lägga till rotcertifikatet för ESET till kända webbläsare (t.ex. Opera, Firefox). För webbläsare som lagrar uppgifter om systemcertifiering läggs certifikatet automatiskt till (t.ex. Internet Explorer). Om du vill lägga till certifikatet i webbläsare som inte stöds klickar du på Visa certifikat > Information > Kopiera till fil... och importerar det manuellt till webbläsaren. Certifikatets giltighet Om certifikatet inte kan verifieras med hjälp av lagringen av betrodda rotcertifikatutgivare i vissa fall kan inte ett webbplatscertifikat verifieras med hjälp av lagringen av betrodda rotcertifikatutgivare (TRCA). Detta innebär att certifikatet är signerat av någon (t.ex. administratören för en webbserver eller ett mindre företag) och att anse sådana certifikat som betrodda är inte alltid en risk. De flesta stora företag (t.ex. banker) använder certifikat signerade av TRCA. Om Fråga om certifikatets giltighet markerats (standard) ombeds användaren att välja en åtgärd att vidta när krypterad kommunikation upprättas. Du kan välja Blockera kommunikation som använder certifikatet för att alltid avsluta krypterade anslutningar till platser som använder overifierade certifikat. Om certifikatet är ogiltigt eller skadat det innebär att certifikatet har utgått eller är felaktigt signerat. I så fall rekommenderar vi att du lämnar Blockera kommunikation som använder certifikatet valt Krypterad SSL-kommunikation Om systemet är konfigurerat att använda genomsökning av SSL-protokoll visas en dialogruta där du ombeds att välja en åtgärd i två situationer: För det första, om en webbplats använder ett certifikat som inte kan verifieras eller är ogiltigt, och om ESET Endpoint Antivirus är konfigurerat att fråga användaren i sådana fall (som standard ja för certifikat som inte kan verifieras, nej för ogiltiga certifikat), så visas en dialogruta där du får välja att Tillåta eller Blockera anslutningen. För det andra, om Filtreringsläge för SSL-protokoll är inställt till Interaktivt läge. I så fall visas en dialogruta för varje webbplats där du får välja om du vill Genomsöka eller Ignorera trafiken. Vissa program kontrollerar att deras SSLtrafik inte ändras eller inspekteras av någon, och i sådana fall måste ESET Endpoint Antivirus Ignorera den trafiken för att programmet ska fortsätta fungera. I båda fallen kan användaren välja att den valda åtgärden ska kommas ihåg. Sparade åtgärder lagras i Lista över kända certifikat Lista över kända certifikat Listan över kända certifikat kan användas för att anpassa hur ESET Endpoint Antivirus ska bete sig för specifika SSLcertifikat samt för att komma ihåg åtgärder som valts om Interaktivt läge valts i Filtreringsläge för SSL/TLS-protokoll. Listan kan visas och redigeras i Avancerade inställningar (F5) > Webb och e-post > SSL/TLS > Lista över kända certifikat. Fönstret Lista över kända certifikat innehåller: Kolumner Namn certifikatets namn. Certifikatutgivare namnet på den som skapat certifikatet. Certifikatämne ämnesfältet identifierar den enhet som är associerad med den offentliga nyckel som lagras i fältet för ämnets offentliga nyckel. Åtkomst välj Tillåt eller Blockera som Åtkomståtgärd för att tillåta/blockera kommunikation som säkrats av certifikatet oavsett dess tillförlitlighet. Välj Auto för att tillåta betrodda certifikat och fråga om obetrodda. Välj Fråga för att alltid fråga användaren om vad som ska göras. 65

66 Genomsök välj Genomsök eller Ignorera som Genomsökningsåtgärd för att genomsöka eller ignorera kommunikation som säkrats av certifikatet. Välj Auto för att genomsöka i automatiskt läge och fråga i interaktivt läge. Välj Fråga för att alltid fråga användaren om vad som ska göras. Kontrollelement Lägg till ett certifikat kan läsas in manuellt som en fil med ändelsen.cer,.crt eller.pem. Klicka på Fil för att överföra ett lokalt certifikat eller klicka på URL om du vill ange platsen för ett certifikat online. Redigera välj det certifikat du vill konfigurera och klicka på Redigera. Ta bort välj det certifikat du vill ta bort och klicka på Ta bort. OK/Avbryt klicka på OK om du vill spara ändringarna eller på Avbryt om du vill avsluta utan att spara dem Lista över SSL/TLS-filtrerade program Lista över SSL/TLS-filtrerade program kan användas för att anpassa hur ESET Endpoint Antivirus ska bete sig för specifika program samt för att komma ihåg åtgärder som valts om Interaktivt läge valts i Filtreringsläge för SSL/TLSprotokoll. Listan kan visas och redigeras i Avancerade inställningar (F5) > Webb och e-post > SSL/TLS > Lista över SSL/TLS-filtrerade program. Fönstret Lista över SSL/TLS-filtrerade program innehåller: Kolumner Program programmets namn. Genomsökningsåtgärd välj Genomsök eller Ignorera för att genomsöka eller ignorera kommunikation. Välj Auto för att genomsöka i automatiskt läge och fråga i interaktivt läge. Välj Fråga för att alltid fråga användaren om vad som ska göras. Kontrollelement Lägg till lägg till filtrerat program. Redigera välj det certifikat du vill konfigurera och klicka på Redigera. Ta bort välj det certifikat du vill ta bort och klicka på Ta bort. OK/Avbryt klicka på OK om du vill spara ändringarna eller på Avbryt om du vill avsluta utan att spara Skydd av e-postklient E-postklienter Integrering av ESET Endpoint Antivirus med e-postklienter förbättrar nivån av aktivt skydd mot skadlig kod i epostmeddelanden. Om din e-postklient stöds går integreringen att aktivera i ESET Endpoint Antivirus. När integreringen är aktiverad infogas ESET Endpoint Antivirus-verktygfältet direkt i e-postklienten (verktygsfält för nyare versioner av Windows Live Mail infogas inte) och ger mer effektivt e-postskydd. Integreringsinställningarna finns under Inställningar > Avancerade inställningar > Webb och e-post > Skydd av e-postklient > E-postklienter. Integrering med e-postklienter E-postklienter som för närvarande stöds inkluderar Microsoft Outlook, Outlook Express, Windows Mail och Windows Live Mail. Skydd av e-post fungerar som ett plugin-program för dessa e-postklienter. Den största fördelen med plugin-program är att det inte spelar någon roll vilket protokoll som används. När e-postklienten tar emot ett krypterat meddelande dekrypteras det och skickas till virusgenomsökaren. En fullständig lista med epostklienterversioner som stöds finns i följande artikel i ESET kunskapsbas. Även om integrering inte aktiverats, skyddas e-postkommunikationen av modulen Skydd av e-postklienter (POP3, IMAP). 66

67 Aktivera Inaktivera kontroll när inkorgens innehåll ändras om du upptäcker att systemet går långsammare när du arbetar med e-postklienten (endast MS Outlook). Detta kan inträffa vid hämtning av e-post från Kerio Outlook Connector Store. E-post som ska genomsökas Aktivera e-postskydd genom klient-plugin-program när e-postklientskydd genom e-postklient är inaktiverat är kontroll av e-postklienten genom protokollfiltrering fortfarande aktiverat. Mottagen e-post växlar kontroll av mottagna meddelanden. Skickad e-post växlar kontroll av skickade meddelanden. Läst e-post växlar kontroll av lästa meddelanden. Åtgärd att utföra på infekterad e-post Ingen åtgärd om aktiverat identifieras infekterade bilagor, men ingen åtgärd vidtas för e-postmeddelanden. Ta bort e-post användaren får ett meddelande om infiltration(er) och e-postmeddelandet tas bort. Flytta e-postmeddelande till mappen Borttaget infekterade e-postmeddelanden flyttas automatiskt till mappen Borttaget. Flytta e-postmeddelande till mappen infekterade e-postmeddelanden flyttas automatiskt till den angivna mappen. Mapp ange den anpassade mapp dit du vill flytta infekterad e-post när de upptäckts. Upprepa genomsökningen efter uppdatering växlar upprepning av genomsökning efter uppdatering av detekteringsmotorn. Acceptera genomsökningsresultat från andra moduler om det här alternativet är markerat kommer modulen för skydd av e-post att acceptera genomsökningsresultat från andra skyddsmoduler (genomsökning av POP3och IMAP-protokoll). OBS! Vi rekommenderar att alternativen Aktivera e-postskydd genom klient-plugin-program och Aktivera e-postskydd genom protokollfiltrering (Avancerade inställningar (F5) > Webb och e-post > Skydd av e-postklient > Epostprotokoll) hålls aktiverade E-postprotokoll IMAP och POP3 är de vanligaste protokollen som används för att ta emot e-postkommunikation i en e-postklient. ESET Endpoint Antivirus ger skydd för dessa protokoll oavsett vilken e-postklient som används och utan att epostklienten behöver omkonfigureras. Du kan konfigurera IMAP/IMAPS- och POP3/POP3S-protokollkontrollen i Avancerade inställningar. Du kommer åt inställningen genom att välja Webb och e-post > Skydd av e-postklient > E-postprotokoll. Aktivera skydd för e-postprotokoll möjliggör kontroll av e-postprotokoll. I Windows Vista och senare identifieras och genomsöks IMAP- och POP3-protokoll automatiskt i alla portar. I Windows XP/2003 genomsöks endast konfigurerade Portar som används av IMAP/POP3-protokollet för alla program, och alla portar genomsöks för program märkta som Webbläsare och e-postklienter. ESET Endpoint Antivirus har även stöd för genomsökning av IMAPS- och POP3S-protokoll, som använder en krypterad kanal för att överföra information mellan server och klient. ESET Endpoint Antivirus kontrollerar kommunikationen med SSL-kryptering (Secure Socket Layer) och TLS-kryptering (Transport Layer Security). Programmet genomsöker endast trafik i portar som angetts i Portar som används av IMAPS/POP3S-protokollet, oavsett operativsystem. Krypterad kommunikation genomsöks inte när standardinställningarna används. Om du vill aktivera genomsökning av krypterad kommunikation går du till SSL/TLS i Avancerade inställningar, klickar på Webb och e-post > SSL/TLS och väljer Aktivera filtrering av SSL-protokoll. 67

68 Varningar och meddelanden Skydd av e-post gör det möjligt att kontrollera e-postkommunikation som sker med POP3- och IMAP-protokollen. Med plugin-programmet för Microsoft Outlook och andra e-postklienter ger ESET Endpoint Antivirus användaren kontroll över alla typer av kommunikation från e-postklienten (POP3, MAPI, IMAP, HTTP). När inkommande meddelanden undersöks använder programmet alla avancerade genomsökningsmetoder i genomsökningsmotorn ThreatSense. Det innebär att identifiering av skadliga program sker till och med innan de matchas mot detekteringsmotorn. Genomsökning av kommunikation med POP3- och IMAP-protokollen är oberoende av vilken epostklient som används. Alternativen för denna funktion finns i Avancerade inställningar under Webb och e-post > Skydd av e-postklient > Varningar och meddelanden. Parameterinställningar för ThreatSense-motorn de avancerade inställningarna för virusskannern gör det möjligt att konfigurera genomsökningsobjekt, detekteringsmetoder osv. Klicka för att öppna inställningsfönstret för detaljerad virusgenomsökning. Efter att ett e-postmeddelande har kontrollerats bifogas ett meddelande med genomsökningsresultatet till epostmeddelandet. Välj att Lägg till meddelanden till mottagen och läst e-post, Lägg till meddelande till ämnesraden i mottagen och läst infekterad e-post eller Lägg till meddelanden till skickad e-post. Tänk på att meddelandena i sällsynta fall kan undantas i problematiska HTML-meddelanden eller om meddelanden förfalskas av skadlig kod. Meddelanden kan läggas till i mottagen och läst e-post, i skickad e-post eller i båda. Följande alternativ finns tillgängliga: Aldrig inga meddelanden läggs till. Endast till infekterad e-post endast meddelanden som innehåller skadlig programvara märks som kontrollerad (standard). Till all genomsökt e-post programmet lägger till meddelanden till all genomsökt e-post. Lägg till meddelande till ämnesraden i skickad infekterad e-post inaktivera detta om du inte vill att e-postskyddet inkluderar en virusvarning i det infekterade e-postmeddelandets ämnesrad. Den här funktionen möjliggör enkel, ämnesbaserad filtrering av infekterad e-post (om ditt e-postprogram stöder funktionen). Den ökar också 68

69 tillförlitligheten för mottagaren och om en infiltration identifieras ger den värdefull information om hotnivån för ett visst meddelande eller för en viss avsändare. Mall som läggs till ämnesraden för infekterad e-post redigera mallen om du vill ändra ämnesradens format i ett infekterat e-postmeddelande. Denna funktion ersätter ämnesraden "Hej " med ett visst prefixvärde "[virus]" till följande format: "[virus] Hej ". Variabeln %VIRUSNAME% representerar det upptäckta hotet Webbåtkomstskydd Möjligheten att ansluta till Internet är en standardfunktion i de flesta datorer. Det är tyvärr även huvudvägen för att överföra skadlig kod. Webbåtkomstskyddet övervakar kommunikationen mellan webbläsare och fjärrservrar och uppfyller reglerna för HTTP (Hypertext Transfer Protocol) och HTTPS (krypterad kommunikation). Åtkomst till kända webbsidor med skadligt innehåll blockeras innan innehåll hinner hämtas. Alla andra webbsidor genomsöks av ThreatSense-genomsökningsmotorn när de läses in och blockeras om skadligt innehåll detekteras. Webbåtkomstskydd ger två nivåer av skydd: blockering efter svartlista och blockering efter innehåll. Vi rekommenderar starkt att låta Webbåtkomstskydd vara aktiverat. Detta alternativ finns på huvudmenyn för ESET Endpoint Antivirus under Inställningar > Webb och e-post > Webbåtkomstskydd. Följande alternativ är tillgängliga i Avancerade inställningar (F5) > Webb och e-post > Webbåtkomstskydd: Webbprotokoll gör det möjligt att konfigurera övervakning för de standardprotokoll som används av de flesta webbläsare. URL-adressbehandling gör det möjligt att ange HTTP-adresser att blockera, tillåta eller undanta från kontroll. Parameterinställningar för ThreatSense-motorn de avancerade inställningarna för virusskannern gör det möjligt att konfigurera inställningar som genomsökningsmål (e-post, arkiv osv.), detektionsmetoder för Webbåtkomstskydd osv. 69

70 Webbprotokoll Som standard är ESET Endpoint Antivirus konfigurerat att övervaka de HTTP-protokoll som används av de flesta webbläsare. I Windows Vista och senare övervakas alltid HTTP-trafiken i alla portar för alla program. In Windows XP kan du ändra Portar som används av HTTP-protokollet i Avancerade inställningar (F5) > Webb och e-post > Webbåtkomstskydd > Webbprotokoll > Inställning av HTTP-skanner. HTTP-trafiken övervakas i de angivna portarna för alla program och i alla portar för program märkta som Webbläsare och e-postklienter. ESET Endpoint Antivirus stöder även kontroll av HTTPS-protokoll. HTTPS-kommunikation använder en krypterad kanal för att överföra information mellan server och klient. ESET Endpoint Antivirus kontrollerar kommunikationen med SSL-protokoll (Secure Socket Layer) och TLS-protokoll (Transport Layer Security). Programmet genomsöker endast trafik i portar som angetts i Portar som används av HTTPS-protokollet, oavsett operativsystem. Krypterad kommunikation genomsöks inte när standardinställningarna används. Om du vill aktivera genomsökning av krypterad kommunikation går du till SSL/TLS i Avancerade inställningar, klickar på Webb och e-post > SSL/TLS och väljer Aktivera filtrering av SSL-protokoll URL-adressbehandling Avsnittet URL-adressbehandling gör det möjligt att ange HTTP-adresser att blockera, tillåta eller undanta från kontroll. Webbplatser i Lista över blockerade adresser är inte åtkomliga såvida de inte också finns i Lista över tillåtna adresser. Webbplatser i Lista över adresser undantagna från kontroll genomsöks inte efter skadlig kod när de besöks. Aktivera SSL-protokollfiltrering måste vara valt om du vill filtrera HTTP-adresser utöver HTTP-webbsidor. Annars läggs endast domänerna för besökta HTTPS-platser till inte hela URL-adressen. I alla listor går det att använda symbolerna * (asterisk) och? (frågetecken). Asterisken motsvarar alla siffror eller tecken, medan frågetecknet motsvarar alla tecken. Du bör vara mycket försiktig när du anger undantagna adresser, eftersom den listan endast bör innehålla betrodda och säkra adresser. På samma sätt är det nödvändigt att kontrollera att symbolerna * och? används på ett korrekt sätt i den listan. Se Lägg till HTTP-adress / domänmask för information om hur en domän inklusive alla underdomäner kan matchas säkert. Aktivera en lista genom att välja alternativet Visa aktiva. Vill du ha ett meddelande när du anger en adress från den aktuella listan aktiverar du Meddela vid tillämpning. Om du vill blockera alla HTTP-adresser utom adresserna i aktiv Lista över tillåtna adresser lägger du till * till aktiv Lista över blockerade adresser. 70

71 Lägg till skapar en ny lista utöver de fördefinierade. Det kan vara användbart om du vill dela olika adressgrupper logiskt. Till exempel kan en lista över blockerade adresser innehålla adresser från någon extern offentlig svartlista, och en annan kan innehålla din egen svartlista, vilket gör det enklare att uppdatera den externa listan medan din egen hålls intakt. Redigera ändrar befintliga listor. Använd det här alternativet för att lägga till eller ta bort adresser från listorna. Ta bort tar bort befintlig lista. Endast möjligt för listor skapade med Lägg till, inte för standardlistorna Skydd mot nätfiske Termen nätfiske (phishing) definierar en kriminell teknik där användare manipuleras att lämna ifrån sig konfidentiell information. Nätfiske används ofta för att få tillgång till känsliga data som bankkontonummer, PINkoder och annat. Läs mer om denna aktivitet i ordlistan. ESET Endpoint Antivirus inkluderar skydd mot nätfiske, som blockerar webbsidor kända för att distribuera sådant. Vi rekommenderar starkt att du aktiverar Skydd mot nätfiske i ESET Endpoint Antivirus. För att göra det öppnar du Avancerade inställningar (F5) och går till Webb och e-post > Skydd mot nätfiske. Besök vår kunskapsbas för mer information om skydd mot nätfiske i ESET Endpoint Antivirus. Öppna en webbplats med nätfiske När du besöker en webbplats med nätfiske visas följande dialogruta i webbläsaren. Om du vill besöka webbplatsen ändå klickar du på Fortsätt till webbplatsen (rekommenderas inte). 71

72 OBS! Potentiella nätfiskewebbplatser som har vitlistats upphör som standard efter flera timmar. Tillåt en webbplats permanent genom att använda verktyget URL-adressbehandling. I Avancerade inställningar (F5) expanderar du Webb och e-post > Webbåtkomstskydd > URL-adressbehandling > Adresslista och klickar på Redigera och lägger till webbplatsen du vill redigera i listan. Rapportera nätfiske Länken Rapportera gör det möjligt att rapportera en webbplats med nätfiske/skadlig kod till ESET för analys. OBS! Innan du skickar en webbplats till ESET, kontrollera att den uppfyller ett eller flera av följande villkor: webbplatsen är inte alls identifierad, webbplatsen är felaktigt identifierad som ett hot. I så fall kan du rapportera en nätfiskewebbplats som falskt positiv. Det går även att skicka webbplatsen med e-post. Skicka e-postmeddelandet till samples@eset.com. Kom ihåg att använda en beskrivande ämnesrad och ta med så mycket information som möjligt om filen (t.ex. webbplatsen du hänvisades dit från, hur du hörde talas om webbplatsen osv.) Uppdatera programmet Regelbunden uppdatering av ESET Endpoint Antivirus är det bästa sättet att få maximal säkerhetsnivå på datorn. Med hjälp av modulen Uppdatering hålls programmet aktuellt på två sätt: genom att detekteringsmotorn uppdateras och genom att systemkomponenterna uppdateras. Genom att klicka på Uppdatering i programmets huvudfönster går det att hitta aktuell uppdateringsstatus, inklusive datum och tid för den senaste uppdateringen och om en uppdatering behövs. Du kan även klicka på länken Visa alla moduler för att öppna listan med installerade moduler och kontrollera vilken version en modul har och när den senast uppdaterades. Dessutom är alternativet manuell start av uppdateringen, Kontrollera uppdateringarna, tillgängligt. Att uppdatera detekteringsmotorn och programkomponenterna är avgörande för att få ett heltäckande skydd mot skadlig kod. Var noggrann vad gäller inställning och genomförande av uppdateringarna. Om du inte angav licensuppgifterna under installationen går det att ange licensnyckeln genom att klicka på Aktivera produkt under uppdateringen för att få åtkomst till ESET:s uppdateringsservrar. 72

73 Om ESET Endpoint Antivirus aktiveras med en offlinelicensfil utan användarnamn och lösenord, och du försöker att uppdatera, så indikerar den röda informationen Uppdatering av detekteringsmotorn avslutades med ett fel att uppdateringar endast kan hämtas från speglingen. OBS! Licensnyckeln tillhandahålls av ESET efter köpet av ESET Endpoint Antivirus. Aktuell version versionsnumret för ESET Endpoint Antivirus. Senaste uppdatering datum och tidpunkt för den senaste uppdateringen. Säkerställ att det refererar till ett aktuellt datum, vilket betyder att detekteringsmotorn är uppdaterad. Senaste sökning efter uppdateringar datum och tidpunkt för det senaste försöket att uppdatera moduler. Visa alla moduler klicka på länken för att öppna listan med installerade moduler och kontrollera vilken version en modul har och när den senast uppdaterades. 73

74 Uppdateringsprocessen När du har klickat på Leta efter uppdateringar startas hämtningen. En förloppsindikator och den kvarvarande hämtningstiden visas. Klicka på Avbryt om du vill avbryta uppdateringen. VIKTIGT! Normalt uppdateras detekteringsmotorn flera gånger om dagen. Om så inte är fallet är programmet inaktuellt och mer sårbar för infektion. Uppdatera detekteringsmotorn så snart som möjligt. Detekteringsmotorn är inaktuell detta fel visas efter flera misslyckade försök att uppdatera detekteringsmotorn. Vi rekommenderar att kontrollera uppdateringsinställningarna. Den vanligaste orsaken till detta fel är felaktigt angivna autentiseringsdata eller felaktigt konfigurerade anslutningsinställningar. 74

75 Föregående meddelande avser följande två meddelanden (Det gick inte att uppdatera detekteringsmotorn) om misslyckade uppdateringar: 1. Ogiltig licens licensnyckeln har angetts felaktigt i uppdateringskonfigurationen. Vi rekommenderar att du kontrollerar dina autentiseringsuppgifter. Fönstret Avancerade inställningar (klicka på Inställningar på huvudmenyn och klicka sedan på Avancerade inställningar eller tryck på F5 på tangentbordet) innehåller ytterligare uppdateringsalternativ. Klicka på Hjälp och support > Hantera licens på huvudmenyn för att ange en ny licensnyckel. 75

76 2. Ett fel uppstod när uppdateringsfiler skulle hämtas en möjlig orsak till felet är felaktiga inställningar för Internetanslutningen. Vi rekommenderar att du kontrollerar Internetanslutningen genom att öppna en helt annan webbsida i webbläsaren. Om webbplatsen inte öppnar är det troligt att en Internetanslutning inte upprättats eller att din dator har anslutningsproblem. Kontrollera med din Internetleverantör om du har en aktiv Internetanslutning. OBS! Läs mer i den här artikeln i ESET kunskapsbas Inställning av uppdateringar Inställningsalternativen för uppdatering är tillgängliga i trädet Avancerade inställningar (F5) under Uppdatera. Detta avsnittet anger information om uppdateringskällan, t.ex. uppdateringsservrar och deras autentiseringsuppgifter. Allmänt Den uppdateringsprofil som används för närvarande visas i listrutan Uppdateringsprofil. Skapa en ny profil genom att navigera till fliken Profiler och klicka på Redigera intill Lista över profiler, ange ett eget Profilnamn och klicka sedan på Lägg till. Om det uppstår problem vid hämtning av moduluppdateringar klickar du på Rensa för att ta bort temporära uppdateringsfiler/cache. Varningar om inaktuell detekteringsmotor Ange maximal databasålder automatiskt gör det möjligt att ställa in den maximala tiden (i dagar) varefter detekteringsmotorn rapporteras som inaktuell. Standardvärdet är 7. Återställning Misstänker du att en ny uppdatering av detekteringsmotorn och/eller programmodulerna är instabila eller skadade, går det att återställa till den föregående versionen och inaktivera uppdateringar under en viss tidsperiod. Det går även att aktivera tidigare inaktiverade uppdateringar och du sköt upp dem på obestämd tid. 76

77 ESET Endpoint Antivirus tar avbildningar av detekteringsmotorn och programmodulerna för användning med återställningsf unktionen. Skapa avbildningar av virusdatabasen genom att låta Skapa avbildningar av uppdateringsfiler vara aktiverat. Fältet Antal lokalt lagrade avbildningar anger antalet tidigare lagrade avbildningar av virusdatabasen. Klickar du på Återställ (Avancerade inställningar (F5) > Uppdatera > Allmänt), måste du välja ett tidsintervall i rullgardinsmenyn som representerar en tidsperiod under vilken uppdateringen av detekteringsmotorn och moduluppdateringarna pausas. Det är mycket viktigt att du fyller i alla uppdateringsparametrar korrekt för att uppdateringarna ska hämtas korrekt. Om du använder en brandvägg, kontrollera att ESET-programmet kan kommunicera med Internet (t.ex. HTTPkommunikation). Profiler Skapa en ny profil genom att klicka på Redigera intill Lista över profiler, ange ett eget Profilnamn och klicka sedan på Lägg till. Om du vill redigera den skapade profilen väljer du den och klickar på Redigera bredvid Lista över profiler. Grundläggande Som standard är Uppdateringstypen inställd på Vanlig uppdatering för att säkerställa att uppdateringsfiler hämtas automatiskt från ESET-servern med minst nätverkstrafik. Testlägesuppdateringar (alternativet Testläge) är uppdateringar som har genomgått grundlig intern testning och snart är allmänt tillgängliga. Du kan dra fördel av att ha tillgång till de senaste identifieringsmetoderna och korrigeringarna genom att aktivera testläge. Testläget är inte alltid stabilt och FÅR INTE användas på produktionsservrar och arbetsstationer där maximal åtkomst och stabilitet krävs. Fördröjd uppdatering gör att du kan uppdatera från särskilda uppdateringsservrar som tillhandahåller nya versioner av virusdatabaser med en fördröjning på minst X timmar (dvs. databaser testade i en verklig miljö och därför ansedda som stabila). Inaktivera meddelande om slutförd uppdatering stänger av systemmeddelanden som visas i nedre högra hörnet på skärmen. Det kan vara bra att använda det här alternativet om du använder ett fullskärmsprogram eller ett spel. Observera att presentationsläget stänger av alla meddelanden. 77

78 Uppdatera från flyttbara medier - Gör så att du kan uppdatera från flyttbara medier om det finns en spegling. När Automatiskt valts sker uppdateringen i bakgrunden. Om du vill att dialogrutor om uppdateringar ska visas väljer du Fråga alltid. Menyn Uppdateringsserver är som standard inställd till Välj automatiskt. Uppdateringsservrar är platsen där uppdateringar lagras. Om en ESET-server används bör standardalternativet användas. När du använder en lokal HTTP-server, även känd som spegel, bör uppdateringsservern vara inställd så här: När du använder en lokal HTTP-server med SSL ska uppdateringsservern vara inställd så här: När du använder en lokal delad mapp ska uppdateringsservern vara inställd så här: \\datorns_namn_eller_dess_ip-adress\delad_mapp Uppdaterar från spegel Autentisering för uppdateringsservrar baseras på den Licensnyckel som skapades och skickades till dig efter köpet. När en lokal speglingsserver används kan du definiera inloggningsuppgifter för klienter så att de kan logga in på speglingsservern innan de får uppdateringar. Som standard krävs ingen verifiering och fälten Användarnamn och Lösenord är tomma Uppdateringsprofiler Uppdateringsprofiler skapas för olika uppdateringskonfigurationer och -aktiviteter. Att skapa uppdateringsprofiler är särskilt användbart för mobila användare som behöver skapa en alternativ profil för anslutningsegenskaper till internet som regelbundet ändras. Rullgardinsmenyn Uppdateringsprofil visar den aktuella profilen och är inställd på Min profil som standard. Skapa en ny profil genom att klicka på Redigera intill Lista över profiler, ange ett eget Profilnamn och klicka sedan på Lägg till Ångra uppdatering Klickar du på Återställ (Avancerade inställningar (F5) > Uppdatera > Profil), måste du välja ett tidsintervall i rullgardinsmenyn som representerar en tidsperiod under vilken uppdateringen av detekteringsmotorn och moduluppdateringarna pausas. Markera Tills återkallad för att skjuta upp regelbundna uppdateringar på obestämd tid till du återställer uppdateringsfunktionen manuellt. Vi rekommenderar inte detta alternativ eftersom det är en potentiell säkerhetsrisk. Detekteringsmotorns version nedgraderas till den äldsta tillgängliga och lagras som en avbildning i den lokala datorns filsystem. OBS! Anta att nummer är detekteringsmotorns senaste version och är lagrade som avbildningar av detekteringsmotorn. Observera att till exempel inte är tillgänglig eftersom datorn stängdes av och en senare uppdatering gjordes tillgänglig innan hämtades. Om fältet Antal lokalt lagrade avbildningar är 78

79 inställt på 2 och du klickar på Återställ, återställs detekteringsmotorn (inklusive programmoduler) till versionsnummer Detta kan ta en stund. Kontrollera om detekteringsmotorns version har nedgraderats i avsnittet Uppdatering i huvudfönstret för ESET Endpoint Antivirus Uppdateringsläge Fliken Uppdateringsläge innehåller alternativ för programkomponentuppdateringen. Det går att ange hur programmet reagerar när en ny uppgradering av en programkomponent finns tillgänglig. Genom uppgraderingen av programkomponenter tillkommer nya funktioner eller ändringar i funktioner som fanns redan i tidigare versioner. Den kan utföras automatiskt utan att du behöver göra något, eller så kan du välja att få ett meddelande. När en programkomponentuppdatering har installerats kan du behöva starta om datorn. I avsnittet Uppdatering av programkomponenter visas tre alternativ: Fråga innan programkomponenter hämtas standardalternativet. Du ombeds att bekräfta eller avvisa uppdatering av programkomponenter när de är tillgängliga. Uppdatera alltid programkomponenter en uppdatering av programkomponenter hämtas och installeras automatiskt. Kom ihåg att en omstart av datorn kan bli nödvändig. Uppdatera aldrig programkomponenter uppdatering av programkomponenter utförs inte. Det här alternativet är lämpligt för serverinstallationer, eftersom servrar vanligtvis bara kan startas om vid underhåll. OBS! Val av det lämpligaste alternativet beror på arbetsstationen där inställningarna tillämpas. Lägg märke till att det finns skillnader mellan arbetsstationer och servrar. Om du startar om servern automatiskt efter en programuppgradering kan du orsaka allvarliga skador. Aktivera manuell uppdatering av programkomponenter som standard inaktiverat. När det aktiverats och det finns en nyare version av ESET Endpoint Antiviruskan du söka efter uppdateringar i panelen Uppdatera och installera den nyare versionen. Om alternativet Fråga innan uppdatering hämtas är aktivt visas ett meddelande när en ny uppdatering är tillgänglig. Om uppdateringsfilens storlek är större än angivet i Fråga om en uppdateringsfil är större än (kb) visas ett meddelande HTTP-server Serverport som standard är serverporten inställd till Autentisering definierar autentiseringsmetoden för åtkomst till uppdateringsfilerna. Följande alternativ finns tillgängliga: None, Basic och NTLM. Välj Basic för att använda base64-kodning med grundläggande autentisering av användarnamn och lösenord. Med alternativet NTLM tillämpas en säker kodningsmetod. Användaren som skapats för arbetsstationen där uppdateringsfilerna lagras används för autentisering. Standardinställningen är None, vilket innebär att det inte krävs någon autentisering för att få tillgång till uppdateringsfilerna. Lägg till din Certifikatkedjefil eller skapa ett självsignerat certifikat om du vill köra HTTP-servern med stöd för HTTPS (SSL). Följande certifikattyper är tillgängliga: ASN, PEM och PFX. För ytterligare säkerhet kan du använda HTTPSprotokollet för att hämta uppdateringsfiler. Det är nästan omöjligt att spåra dataöverföringar och inloggningsinformation med detta protokoll. Alternativet Privat nyckeltyp är som standard inställt på Integrerad (och därför är alternativet Privat nyckeltyp inaktiverat som standard), vilket innebär att den privata nyckeln är en del av den valda certifikatkedjefilen. OBS! Autentiseringsuppgifter som Användarnamn och Lösenord är avsedda för åtkomst till proxyservern. Fyll endast i dessa fält om användarnamn och lösenord krävs. Observera att du inte ska ange användarnamn/lösenord för ESET Endpoint Antivirus i dessa fält. De ska dessutom bara fyllas i om du vet att du behöver ett lösenord för att få åtkomst till internet via en proxyserver. 79

80 Anslutningsalternativ Vid uppdatering från en lokal server med en version av Windows NT-operativsystemet krävs som standard autentisering för varje nätverksanslutning. Om du vill konfigurera ett sådant konto väljer du i listrutan Anslut till LAN som: Systemkonto (standard), Aktuell användare, Angiven användare. Markera alternativet Systemkonto (standard) så att systemkontot används för autentisering. I vanliga fall utförs ingen autentisering om autentiseringsuppgifter inte har angetts i uppdateringsinställningarnas huvudavsnitt. Kontrollera att programmet autentiserar sig med det aktuella användarkontot genom att välja Aktuell användare. Denna lösning innebär att programmet inte kan ansluta till uppdateringsservern om ingen användare är inloggad. Välj Angiven användare om du vill att programmet ska använda ett visst användarkonto för autentisering. Använd den här metoden när standardanslutningen till systemkonto misslyckas. Tänk på att det angivna användarkontot måste ha åtkomst till katalogen med uppdateringsfiler på den lokala servern. Annars kan inte programmet upprätta en anslutning och hämta uppdateringar. Inställningarna Användarnamn och Lösenord är valfria. VARNING! När alternativet Aktuell användare eller Angiven användare har markerats kan ett fel uppstå om programidentiteten ändras till önskad användare. Därför rekommenderar vi att uppgifterna om LANautentisering förs in i uppdateringsinställningarnas huvudavsnitt. I avsnittet för uppdateringsinställningar anges autentiseringsuppgifterna på följande sätt: domän_namn\användare (om det är en arbetsgrupp, ange arbetsgrupp_namn\namn) och användarens lösenord. Då krävs ingen autentisering vid uppdatering från HTTPversionen av den lokala servern. Välj Koppla från servern efter uppdatering för att tvinga fram en frånkoppling om anslutningen till servern förblir aktiv när uppdateringarna har hämtats Spegling av uppdateringar Med ESET Endpoint Antivirus går det att skapa kopior av uppdateringsfiler, som kan användas för att uppdatera andra arbetsstationer i nätverket. Användning av en spegling en kopia av uppdateringsfilerna i LAN-miljön är praktiskt eftersom uppdateringsfilerna inte behöver hämtas från leverantörens uppdateringsserver flera gånger och av varje arbetsstation. Uppdateringarna hämtas centralt till den lokala speglingsservern och distribueras sedan till alla arbetsstationer och undviker därmed risken för överbelastning av nätverkstrafiken. Genom att uppdatera klientarbetsstationer från en spegling kan man optimera nätverksbelastningen och spara Internetbandbredd. Konfigurationsalternativen för den lokala speglingsservern finns i Avancerade inställningar under Uppdatering. För att komma åt avsnittet trycker du på F5 för att öppna Avancerade inställningar, klickar på Uppdatering > Profiler och väljer fliken Spegling. 80

81 Om du vill skapa en spegling på en klientarbetsstation aktiverar du Skapa spegling av uppdateringar. När alternativet väljs, aktiveras andra speglingsalternativ, som t.ex. åtkomst till uppdateringsfiler och sökvägen till de speglade filerna. Åtkomst till uppdateringsfiler Tillhandahåll uppdateringsfiler via intern HTTP-server om det här alternativet är aktiverat kan du få åtkomst till uppdateringsfilerna via HTTP, inga inloggningsuppgifter krävs. OBS! För Windows XP krävs Service Pack 2 eller senare för att använda HTTP-servern. Metoderna för att komma åt speglingsservern beskrivs utförligt i Uppdatera från speglingen. Det finns två grundläggande metoder för att komma åt speglingen mappen med uppdateringsfiler kan visas som en delad nätverksmapp eller så kan klienter komma åt speglingen på en HTTP-server. Du anger i vilken mapp uppdateringsfilerna för speglingen ska sparas i Mapp där speglade filer lagras. Om du vill välja en annan mapp klickar du på Rensa för att ta bort den fördefinierade mappen C:\ProgramData\ESET\ESET Endpoint Antivirus\mirror och klickar på Redigera för att bläddra efter en mapp på den lokala datorn eller en mapp i det delade nätverket. Om det krävs autentisering för mappen måste du ange autentiseringsuppgifter i fälten Användarnamn och Lösenord. Om den valda målmappen finns på en nätverksdisk som kör operativsystemet Windows NT/2000/XP måste det användarnamn och lösenord som anges ha skrivbehörighet till den valda mappen. Användarnamn och lösenord ska anges i formatet Domän/Användare eller Arbetsgrupp/Användare. Kom ihåg att ange motsvarande lösenord. Filer när speglingen konfigureras kan du ange språkversionerna för uppdateringar du vill hämta. Det måste finnas stöd för de valda språken i den speglingsserver som konfigurerats av användaren. 81

82 Uppdatera programkomponenter Uppdatera komponenter automatiskt används för installation av nya funktioner och uppdateringar av befintliga funktioner. En uppdatering kan utföras automatiskt utan att du behöver göra något, eller så kan du välja att få ett meddelande. När en programkomponentuppdatering har installerats kan du behöva starta om datorn. Uppdatera komponenter nu uppdaterar programkomponenterna till den senaste versionen Uppdatera från speglingen Det finns två grundläggande metoder för att konfigurera en spegling, som i grund och botten är en databas klienter kan hämta uppdateringsfiler från. Mappen med uppdateringsfiler går att visa som en delad nätverksmapp eller som en HTTP-server. Åtkomst till speglingen via en intern HTTP-server Denna konfiguration är standard och anges i den fördefinierade programkonfigurationen. För att tillåta åtkomst till speglingen med HTTP-servern öppnar du Avancerade inställningar > Uppdatering > Profiler > Spegling och väljer Skapa spegling av uppdateringar. I avsnittet HTTP-server på fliken Spegling går det att ange den Serverport där HTTP-servern lyssnar och vilken typ av Autentisering som används av HTTP-servern. Som standard är serverporten inställd på Alternativet Autentisering definierar autentiseringsmetoden för åtkomst till uppdateringsfilerna. Följande alternativ finns tillgängliga: None, Basic och NTLM. Välj Basic för att använda base64-kodning med grundläggande autentisering av användarnamn och lösenord. Med alternativet NTLM tillämpas en säker kodningsmetod. Användaren som skapats för arbetsstationen där uppdateringsfilerna lagras används för autentisering. Standardinställningen är None, vilket innebär att det inte krävs någon autentisering för att få tillgång till uppdateringsfilerna. VARNING! Vill du att uppdateringsfilerna ska vara tillgängliga via HTTP-servern måste speglingsmappen finnas på samma dator som den instans av ESET Endpoint Antivirus som skapade mappen. 82

83 SSL för HTTP-server Lägg till din Certifikatkedjefil eller skapa ett självsignerat certifikat om du vill köra HTTP-servern med stöd för HTTPS (SSL). Följande certifikattyper finns tillgängliga: PEM, PFX och ASN. För ytterligare säkerhet kan du använda HTTPSprotokollet för att hämta uppdateringsfiler. Det är nästan omöjligt att spåra dataöverföringar och inloggningsinformation med detta protokoll. Privat nyckeltyp är som standard inställt till Integrerad, vilket innebär att den privata nyckeln är en del av den valda certifikatkedjefilen. OBS! Felet Användarnamnet och/eller lösenordet är ogiltigt visas i uppdateringsfönstret från huvudmenyn efter flera misslyckade försök att uppdatera detekteringsmotorn från speglingen. Vi rekommenderar att du navigerar till Avancerade inställningar > Updatering > Profiler > Spegling och kontrollerar användarnamnet och lösenordet. Den vanligaste orsaken till att problemet uppstår är att fel autentiseringsuppgifter angetts. När speglingsservern konfigurerats måste du lägga till den nya uppdateringsservern i klientarbetsstationerna. Följ stegen nedan: Öppna Avancerade inställningar (F5) och klicka på Uppdatering > Profiler > Grundläggande. Inaktivera Välj automatiskt och lägg till en ny server i fältet Uppdateringsserver med något av följande format: (om SSL används) Åtkomst till speglingen via systemdelningar Först måste en delad mapp skapas på en lokal enhet eller nätverksenhet. Användaren som sparar filer i mappen måste tilldelas skrivbehörighet till speglingsmappen och användarna som använder mappen till att uppdatera ESET Endpoint Antivirus måste tilldelas läsbehörighet till den. Konfigurera sedan åtkomst till speglingen i avsnittet Avancerade inställningar > Uppdatering> Profiler > fliken Spegling genom att inaktivera Tillhandahåll uppdateringsfiler via intern HTTP-server. Alternativet är markerat som standard i programmets installationspaket. Om den delade mappen finns på en annan dator i nätverket måste du ange autentisering för åtkomst till den andra datorn. Ange autentiseringsuppgifter genom att öppna Avancerade inställningar för ESET Endpoint Antivirus (F5) och 83

84 klicka på Uppdatering > Profiler > Anslut till LAN som. Inställningen är densamma som för uppdatering, beskrivet i avsnittet Ansluta till LAN som. När speglingen har konfigurerats ska du ange \\UNC\SÖKVÄG som uppdateringsserver på arbetsstationerna enligt stegen nedan: 1. Öppna Avancerade inställningar för ESET Endpoint Antivirus och klicka på Uppdatering > Profiler > Grundläggande. 2. Inaktivera Välj automatiskt och lägg till en ny server i fältet Uppdateringsserver med formatet \\UNC\PATH. OBS! Sökvägen till mappen med speglingen måste anges som en UNC-sökväg för att fungera. Uppdateringar från mappade enheter fungerar kanske inte. Det sista avsnittet styr programkomponenter (PCU). Som standard förbereds kopiering av de hämtade programkomponenterna till den lokala speglingen. Om Uppdatera programkomponenter aktiveras är det inte nödvändigt att klicka på Uppdatera eftersom filerna automatiskt kopieras till den lokala speglingen när de är tillgängliga. Se Uppdateringsläge för mer information om uppdatering av programkomponenter Felsöka problem med uppdatering via spegling Vanligen orsakas problem med en uppdatering från en spegling av något av följande: felaktig inställning av alternativen för speglingsmappen, felaktiga autentiseringsuppgifter för speglingsmappen, felaktig inställning på lokala arbetsstationer som försöker hämta uppdateringsfiler från speglingen eller en kombination av orsakerna ovan. Nedan följer en översikt över de vanligaste problemen som kan inträffa vid en uppdatering från speglingen: ESET Endpoint Antivirus rapporterar om ett fel vid anslutningen till speglingsservern troligen orsakad av felaktig inställning av uppdateringsservern (nätverkssökvägen till speglingsmappen) varifrån lokala arbetsstationer hämtar uppdateringar. Verifiera mappen genom att klicka på Windows Start-meny, klicka på Kör, ange mappnamnet och klicka på OK. Mappinnehållet visas. ESET Endpoint Antivirus kräver användarnamn och lösenord troligen orsakat av felaktiga autentiseringsuppgifter (användarnamn och lösenord) i uppdateringsavsnittet. Användarnamnet och lösenordet ger åtkomst till uppdateringsservern som programmet utnyttjar för uppdateringar. Kontrollera att autentiseringsuppgifterna är korrekta och i rätt format. Till exempel Domän/användarnamn eller Arbetsgrupp/användarnamn plus motsvarande lösenord. Att speglingsservern är tillgänglig för Alla innebär inte att alla användare har åtkomst till den. Alla omfattar alla domänanvändare, men inte obehöriga användare. Även om mappen är tillgänglig för Alla måste du ange ett användarnamn och lösenord för domänen i avsnittet för uppdateringsinställningar. ESET Endpoint Antivirus rapporterar om fel vid anslutningen till speglingsservern kommunikationen på porten som definierats för åtkomst till HTTP-versionen av speglingen har blockerats Skapa uppdateringsaktiviteter Uppdateringar utlöses manuellt genom att klicka på Leta efter uppdateringar i fönstret som öppnas när du klickat på Uppdatera på huvudmenyn. Det går även att köra uppdateringar som schemalagda aktiviteter. Konfigurera en schemalagd aktivitet genom att klicka på Verktyg > Schemaläggaren. Som standard är följande aktiviteter aktiverade i ESET Endpoint Antivirus: Vanlig automatisk uppdatering Automatisk uppdatering efter modemuppkoppling Automatisk uppdatering efter inloggning Varje uppdateringsaktivitet går att ändra för att uppfylla dina behov. Förutom standardaktiviteterna går det även att skapa nya uppdateringsaktiviteter med en användardefinierad konfiguration. Mer information om att skapa och konfigurera uppdateringsaktiviteter finns i Schemaläggaren. 84

85 3.9.4 Verktyg I menyn Verktyg finns moduler som förenklar programadministration och innehåller ytterligare alternativ för avancerade användare. Denna meny innefattar följande verktyg: Loggfiler Skyddsstatistik Se aktivitet Processer som körs (om ESET LiveGrid aktiverats i ESET Endpoint Antivirus) Schemaläggare Karantän ESET SysInspector Skicka in prov för analys gör det möjligt att skicka in en misstänkt fil till ESET:s forskningslabb för analys. Dialogrutan som visas när det här alternativet väljs beskrivs i avsnittet Sändning av prover till analys. ESET SysRescue omdirigerar dig till ESET SysRescue Live-sidan där du kan hämta ESET SysRescue Live Image eller Live CD/USB Creator för Microsoft Windows-operativsystem. 85

86 Loggfiler Loggfiler innehåller information om viktiga programhändelser som har inträffat och ger en översikt över upptäckta hot. Loggar utgör ett viktigt verktyg vid systemanalys, detektering av hot och vid felsökning. Loggning sker aktivt i bakgrunden utan att användaren behöver göra något. Informationen som sparas baseras på loggens aktuella utförlighetsinställningar. Det går att visa textmeddelanden och loggar direkt i ESET Endpoint Antivirus-miljön. Det går även att arkivera loggfiler. Loggfilerna finns tillgängliga från huvudmenyn genom att klicka på Verktyg > Loggfiler. Välj önskad loggtyp i rullgardinsmenyn Logg. Följande loggar finns tillgängliga: Upptäckta hot i hotloggen sparas detaljerad information om de infiltreringar som upptäckts av ESET Endpoint Antivirus-modulerna. Bland informationen finns tiden för upptäckt, infiltreringens namn, plats, utförd åtgärd och namnet på den användare som var inloggad vid den tidpunkt då infiltreringen upptäcktes. Dubbelklicka på loggposten för att visa detaljerna i ett separat fönster. Händelser alla viktiga åtgärder som utförs av ESET Endpoint Antivirus sparas i händelseloggen. I händelseloggen finns information om händelser och fel som uppstått i programmet. Det är utformat för att hjälpa systemadministratörer och användare lösa problem. Informationen i loggfiler hjälper ofta till att hitta en lösning på ett problem i programmet. Genomsökning av datorn alla genomsökningsresultat visas i det här fönstret. Varje rad motsvarar en enskild kontrollåtgärd. Dubbelklicka på en post för att visa information om respektive genomsökning av datorn. Blockerade filer innehåller information om filer som blockerats och inte varit åtkomliga. I protokollet framgår anledningen och källmodulen som blockerade filen samt vilken app och användare som kört filen. HIPS innehåller poster för vissa regler som markerades för registrering. Protokollet visar programmet som anropade åtgärden, resultatet (om regeln tilläts eller var förbjuden) och den skapade regelns namn. Filtrerade webbplatser Denna lista är praktisk om du vill visa en lista med alla webbplatser som blockerades av Webbåtkomstskydd. I dessa loggar visas tid, webbadress, användare och program som öppnade en anslutning till en viss webbplats. Enhetskontroll innehåller poster med flyttbara medier eller enheter som anslutits till datorn. Endast enheter med en enhetskontrollregel registreras i loggfilen. Om regeln inte motsvarar en ansluten enhet skapas inte en loggpost för en ansluten enhet. Här går det även att visa information såsom enhetstyp, serienummer, leverantörsnamn och mediastorlek (om tillgängligt). Den visade informationen i varje avsnitt går att kopiera till Urklipp (tangentbordsgenväg Ctrl + C) genom att välja posten och klicka på Kopiera. Välj flera poster med tangenterna Ctrl och Shift. Klicka på Filtrering för att öppna fönstret Loggfiltrering där filtreringskriterierna kan anges. Visa en kontextmeny genom att högerklicka på en post. Följande alternativ är tillgängliga i kontextmenyn: Visa visar mer utförlig information om den valda loggen i ett nytt fönster. Filtrera samma poster aktivera detta filter för att endast visa poster av samma typ (diagnostik, varningar...). Filter.../Sök... när du klickar på det här alternativet kan du ange filtreringskriterier för specifika loggposter i 86 fönstret Sök i logg. Aktivera filter aktiverar filterinställningarna. Inaktivera filter rensar alla inställningar i filtret (enligt beskrivning ovan). Kopiera/Kopiera alla kopierar information om alla posterna i fönstret. Ta bort/ta bort alla tar bort vald(a) post(er) eller alla visade poster denna åtgärd kräver administratörsbehörighet. Exportera... Exporterar information om posterna i XML-format. Exportera alla... exportera information om posterna i XML-format. Bläddra i loggen låt alternativet vara aktiverat för att bläddra automatiskt och visa aktiva loggar i fönstret Loggfiler.

87 Sök i logg I loggfilerna lagras information om viktiga systemhändelser. Funktionen för loggfiltrering gör det möjligt att visa poster om en viss typ av händelse. Ange sökordet i fältet Sök text. Om du vill söka efter nyckelordet i vissa kolumner, ändra filtret i rullgardinsmenyn Sök i kolumner. Posttyper välj en eller flera posttyper i listrutan: Diagnostik loggar information som behövs för att fininställa programmet och alla poster ovan. Informativ loggar alla informationsmeddelanden, inklusive framgångsrika uppdateringar och alla poster ovan. Varningar registrerar kritiska fel och varningsmeddelanden. Fel fel som Fel när filen hämtades och kritiska fel registreras. Kritiska loggar endast kritiska fel (fel vid start av antivirusskyddet, osv.). Tidsperiod definiera tidsperioden för vilken du vill visa resultat. Matcha endast hela ord markera den här kryssrutan om du vill söka efter hela ord för mer exakta resultat. Skiftlägeskänslig aktivera detta alternativ om det är viktigt att använda stora eller små bokstäver i filtret. Sök uppåt Sökresultat som förekommer högre i dokumentet visas först Inställning av proxyserver I stora LAN-nätverk kan kommunikationen mellan datorn och Internet gå via en proxyserver. När den här konfigurationen används behöver följande inställningar göras. Annars går det inte att uppdatera programmet automatiskt. Inställningar för proxyserver i ESET Endpoint Antivirus är tillgängliga i två olika avsnitt i trädet Avancerade inställningar. Först går det att konfigurera inställningarna för proxyserver i Avancerade inställningar under Verktyg > Proxyserver. Anges proxyservern på denna nivå definieras de globala proxyserverinställningarna för hela ESET Endpoint Antivirus. Dessa parametrar används av alla moduler som kräver anslutning till Internet. Ange proxyserverinställningarna för denna nivå genom att välja Använd proxyserver och ange adressen till proxyservern i fältet Proxyserver tillsammans med proxyserverns portnummer. Om kommunikationen med proxyservern kräver autentisering, välj Proxyservern kräver autentisering och ange ett giltigt Användarnamn och Lösenord i respektive fält. Klicka på Identifiera för att automatiskt identifiera och fylla i inställningarna för proxyservern. Det inställda parametrarna i Internet Explorer kopieras. OBS! Användarnamnet och lösenordet måste fyllas i manuellt i Proxyserver-inställningarna. Använd direktanslutning om proxy inte är tillgänglig om en produkt är konfigurerad att använda HTTP-proxy och proxyn inte kan nås, så åsidosätter produkten proxyn och kommunicerar direkt med ESET:s servrar. Proxyserverns inställningar går även att ställa in i Avancerade uppdateringsinställningar (Avancerade inställningar > Uppdatera > Profiler > Uppdateringar > Anslutningsalternativ genom att välja Anslutning via en proxyserver i listrutan Proxyläge). Dessa inställningar gäller den aktuella uppdateringsprofilen och rekommenderas för bärbara datorer, som ofta tar emot uppdateringar av detekteringsmotorn från fjärrplatser. Ytterligare information om denna inställning finns i avsnittet Avancerade uppdateringsinställningar. 87

88 Schemaläggare Schemaläggaren hanterar och startar schemalagda aktiviteter med fördefinierade inställningar och egenskaper. Det går att hitta Schemaläggare i ESET Endpoint Antivirus huvudmeny genom att klicka på Verktyg. Schemaläggaren innehåller en lista med alla schemalagda aktiviteter och konfigurationsegenskaper som t.ex. förinställt datum, tid och använd genomsökningsprofil. Schemaläggaren används för att schemalägga följande aktiviteter: uppdatering av detekteringsmotor, genomsökning, kontroll av systemstartfiler och underhåll av loggfiler. Det går att lägga till eller ta bort aktiviteter direkt i Schemaläggarens huvudfönster (klicka på Lägg till aktivitet eller Ta bort längst ned). Du kan utföra följande åtgärder genom att högerklicka var som helst i Schemaläggarens fönster: visa detaljerad information, utföra aktiviteten omedelbart, lägga till en ny aktivitet eller ta bort en befintlig aktivitet. Aktivera/inaktivera aktiviteterna med hjälp av kryssrutorna i början av varje post. Som standard visas följande schemalagda aktiviteter i Schemaläggaren: Loggunderhåll Vanlig automatisk uppdatering Automatisk uppdatering efter modemuppkoppling Automatisk uppdatering efter inloggning Kontroll av filer som startas automatiskt (när användaren loggat in) Kontroll av filer som startas automatiskt (efter lyckad moduluppdatering) Redigera konfigurationen för en befintlig schemalagd aktivitet (både standard och användardefinierad), genom att högerklicka på aktiviteten och klicka på Redigera... eller markera den aktivitet du vill ändra och klicka på knappen Redigera. Lägg till ny aktivitet 1. Klicka på Lägg till aktivitet längst ned i fönstret. 2. Namnge aktiviteten. 3. Välj önskad aktivitet på rullgardinsmenyn: Kör externt program schemalägger körning av ett externt program. Underhåll av loggning loggfiler innehåller även rester från borttagna poster. Denna aktivitet optimerar regelbundet posterna i loggfiler för effektiv funktion. Kontroll av filer som startas automatiskt kontrollerar filer som tillåts köra vid systemstart eller inloggning. Skapa en genomsökning av datorn skapar en avbildning av datorn i ESET SysInspector samlar in detaljerad information om systemkomponenter (t.ex. drivrutiner och program) och utvärderar risknivån för varje komponent. Genomsökning av datorn på begäran utför genomsökning av filer och mappar på datorn. Uppdatering schemalägger en uppdateringsaktivitet genom att uppdatera detekteringsmotorn och programmodulerna. 4. Välj Aktiverad om du vill aktivera åtgärden (du kan göra detta senare genom att markera/avmarkera kryssrutan i listan över schemalagda aktiviteter), klicka på Nästa och välj något av tidsalternativen: 88 En gång aktiviteten utförs vid det datum och den tidpunkt som angetts. Flera gånger aktiviteten utförs regelbundet med angivet tidsintervall. Dagligen aktiviteten körs varje dag vid den angivna tidpunkten. Varje vecka aktiviteten körs angiven dag och tidpunkt. När en händelse utlöser den aktiviteten utförs efter en angiven händelse.

89 5. Välj Hoppa över aktivitet när datorn körs på batteri för att minimera systemresurserna när datorn körs på batteri. Aktiviteten körs vid det datum och den tidpunkt som angetts i fältet Utförande av aktivitet. Om aktiviteten inte kunde köras vid den förutbestämda tidpunkten, ange när den ska utföras igen: Vid nästa schemalagda tid Så snart som möjligt Omedelbart om tiden sedan senaste körning överskrider angivet värde (intervallet kan anges i rullningsrutan Tid sedan senaste körning) Du kan granska den schemalagda aktiviteten genom att högerklicka och klicka på Visa aktivitetsinformation Skyddsstatistik Visa en graf över statistiska data från skyddsmodulerna i ESET Endpoint Antivirus genom att klicka på Verktyg > Skyddsstatistik. Välj önskad skyddsmodul i rullgardinsmenyn Statistik för att se motsvarande graf och förklaring. Om du håller muspekaren över ett objekt i förklaringen visas endast data för det objektet i grafen. Följande statistikgrafer finns tillgängliga: Skydd mot virus och spionprogram visar antalet infekterade och rensade objekt. Skydd av filsystemet i realtid visar endast objekt som lästes eller skrevs till filsystemet. Skydd av e-postklienter visar endast objekt som skickades eller mottogs av e-postklienter. Webbåtkomstskydd och skydd mot nätfiske visar endast objekt som har hämtats av webbläsare. Intill statistikgraferna visas antal genomsökta objekt, antal infekterade objekt, antal rensade objekt och antal rena objekt. Klicka på Återställ om du vill rensa statistikinformationen eller klicka på Återställ alla om du vill rensa och ta bort all befintlig data. 89

90 Se aktivitet Visa graf för aktuell Filsystemsaktivitet genom att klicka på Verktyg > Se aktivitet. Längst ned i grafen finns en tidslinje där filsystemsaktiviteten registreras i realtid baserat på det angivna tidsintervallet. Om du vill ändra tidsintervallet väljer du från listrutan Uppdateringshastighet. Följande alternativ finns tillgängliga: Stega: 1 sekund grafen uppdateras varje sekund och tidslinjen täcker de senaste 10 minuterna. Stega: 1 minut (senaste 24 timmarna) grafen uppdateras varje minut och tidslinjen täcker de senaste 24 timmarna. Stega: 1 timme (senaste månaden) - grafen uppdateras varje timme och tidslinjen täcker den senaste månaden. Stega: 1 timme (vald månad) grafen uppdateras varje timme och tidslinjen täcker de X valda månaderna. Den lodräta axeln i grafen Filsystemsaktivitet representerar mängden lästa data (blå) och mängden skrivna data (röd). Båda värdena anges i kb (kilobyte)/mb/gb. Om du håller muspekaren över förklaringen för antingen lästa data eller skrivna data under grafen, visas endast data för den aktivitetstypen i grafen ESET SysInspector ESET SysInspector är ett program som grundligt undersöker din dator, samlar detaljerad information om systemkomponenter, som t.ex. drivrutiner och program, nätverksanslutningar eller viktiga registerposter och utvärderar risknivån för varje komponent. Informationen kan hjälpa till att fastställa orsaken till misstänkta systemfunktioner som kan ha uppstått på grund av inkompatibla program- eller maskinvaror eller infektion av skadlig programvara. SysInspector-fönstret visar följande information om skapade loggar: 90 Tid tiden då loggen skapades. Kommentar en kort kommentar. Användare namnet på användaren som skapade loggen. Status status för loggskapande.

91 Följande åtgärder finns tillgängliga: Öppna öppnar den skapade loggen. Du kan även högerklicka på en viss loggfil och välja Visa på kontextmenyn. Jämför jämför två befintliga loggar. Skapa... skapar en ny logg. Vänta tills ESET SysInspector är klart (loggstatusen visas som Skapad) innan du försöker komma åt loggen. Ta bort tar bort vald eller valda loggar från listan. Följande objekt är tillgängliga på kontextmenyn när en eller flera loggfiler väljs: Visa öppnar markerad logg i ESET SysInspector (samma funktion som att dubbelklicka på en logg). Jämför jämför två befintliga loggar. Skapa... skapar en ny logg. Vänta tills ESET SysInspector är klart (loggstatusen visas som Skapad) innan du försöker komma åt loggen. Ta bort alla tar bort alla loggar. Exportera... exporterar loggen till en.xml-fil eller zippad.xml ESET LiveGrid är ett avancerat system för tidig varning bestående av flera molnbaserade tekniker. Det hjälper till att upptäcka nya hot baserat på rykte och förbättrar genomsökningsprestanda med hjälp av vitlistning. Ny hotinformation strömmas i realtid till molnet, vilket gör det möjligt för ESET:s viruslabb att hålla skyddet aktuellt för en konstant skyddsnivå. Användare kontrollerar ryktet för filer och processer som körs direkt från programmets gränssnitt eller kontextmeny med ytterligare information från ESET LiveGrid. Välj ett av följande alternativ när ESET Endpoint Antivirus installeras: 1. Du kan besluta att inte aktivera ESET LiveGrid. Du missar inga programfunktioner, men i vissa fall kan ESET Endpoint Antivirus reagera långsammare på nya hot än uppdateringen av detekteringsmotorn. 2. Det går att konfigurera ESET LiveGrid så att det skickar anonym information om nya hot och om var den nya hotfulla koden upptäcktes. Filen kan skickas till ESET för detaljerad analys. Genom att studera hoten kan ESET förbättra förmågan att upptäcka hot. ESET LiveGrid samlar in anonym information om din dator som är kopplad till nyupptäckta hot. Informationen kan bestå av ett exempel eller en kopia av filen som innehåller hotet, sökvägen till filen, filnamnet, datum och tid, sättet på vilket hotet uppträdde på datorn samt information om datorns operativsystem. ESET Endpoint Antivirus är som standard konfigurerat så att misstänkta filer skickas för detaljerad analys till ESET:s viruslaboratorium. Filer med särskilda tillägg som.doc eller.xls är alltid undantagna. Det går att lägga till ytterligare filtillägg om du eller din organisation vill att andra filer inte heller skickas. Med ESET LiveGrid -ryktessystemet får du molnbaserad vitlistning och svartlistning. Om du vill komma åt inställningarna för ESET LiveGrid trycker du på F5 för att öppna Avancerade inställningar och expanderar Verktyg > ESET LiveGrid. Aktivera ESET LiveGrid -ryktessystemet (rekommenderas) ESET LiveGrid -ryktessystemet förbättrar effektiviteten för ESET-lösningar mot skadlig programvara genom att genomsökta filer jämförs mot en databas med vit- och svartlistade objekt i molnet. Skicka anonym statistik tillåt att ESET samlar in information om nyligen upptäckta hot, såsom hotets namn, datum och tid då det upptäcktes, detekteringsmetod och associerade metadata, produktversion och -konfiguration, inklusive information om ditt system. Skicka in filer misstänkta filer som liknar hot och/eller filer med ovanliga egenskaper skickas till ESET för analys. Välj alternativet Aktivera loggning för att skapa en händelselogg med filer som skickas och statistik. Det aktiverar loggning till Händelseloggen när filer eller statistik skickas. E-postadress (valfritt) din e-postadress skickas med de misstänkta filerna och används för att kontakta dig om ytterligare information är nödvändig för analysen. Observera att du endast får ett svar från ESET om ytterligare information är nödvändig. 91

92 Exkludering med exkluderingsfiltret går det att exkludera vissa filer/mappar från att skickas in (det kan till exempel vara lämpligt att exkludera filer som kan innehålla konfidentiell information, som till exempel dokument eller kalkylblad). De filer som finns listade skickas inte till ESET:s labb för analys, även om de innehåller misstänkt kod. De vanligaste filtyperna är undantagna som standard (.doc osv.). Det går att lägga till filtyper till listan. Om du har använt ESET LiveGrid tidigare och inaktiverat det, finns det kanske datapaket att skicka. Sådana paket skickas till ESET även efter inaktivering. När all aktuell information skickats skapas inte fler paket Processer som körs Processer som körs visar program eller processer som körs på datorn och håller ESET omedelbart och kontinuerligt informerad om nya infiltrationer. ESET Endpoint Antivirus ger detaljerad information om processer som körs för att skydda användare med ESET LiveGrid -teknik aktiverad. Risknivå i de flesta fall tilldelar ESET Endpoint Antivirus med hjälp av ESET LiveGrid -teknik risknivåer till objekt (filer, processer, registernycklar osv.) med hjälp av ett antal heuristiska regler så att egenskaperna för varje objekt granskas och risken för skadlig aktivitet utvärderas. Baserat på heuristiken kan objekt tilldelas en risknivå från 1 Okej (grönt) till 9 Riskfyllt (rött). Process avbildningsnamn för programmet eller processen som för närvarande körs på datorn. Det går även att använda Windows Aktivitetshanterare för att visa alla processer som körs i datorn. Det går att öppna Aktivitetshanteraren genom att högerklicka på ett tomt utrymme på aktivitetsfältet och sedan klicka på Aktivitetshanteraren eller genom att trycka på Ctrl+Skift+Esc på tangentbordet. PID är ett ID för processer som körs i Windows-operativsystem. OBS! Kända program märkta som Okej (grön) är säkert rena (vitlistade) och undantas från genomsökning då detta ökar genomsökningshastigheten för genomsökning av datorn eller skydd av filsystemet i realtid på datorn. Antal användare antalet användare som använder ett visst program. Denna information samlas in med ESET LiveGrid -teknik. 92

93 Identifieringstid tiden sedan programmet identifierades av ESET LiveGrid -tekniken. OBS! När ett program tilldelats säkerhetsnivån Okänd (orange) är det inte säkert att det är skadlig programvara. Det är ofta ett nytt program. Om du inte är säker på filen kan du skicka in filen för analys till ESET:s viruslaboratorium. Om filen visar sig vara ett skadligt program läggs den till i någon av de kommande uppdateringarna av detekteringsmotorn. Programnamn namnet på ett visst program eller viss process. Genom att klicka på ett program längst ned visas följande information längst ned i fönstret: Sökväg platsen för programmet på din dator. Storlek filstorlek i antingen kb (kilobyte) eller MB (megabyte). Beskrivning filens egenskaper som de beskrivs av operativsystemet. Företag namnet på försäljaren eller programprocessen. Version information från programmets utgivare. Produkt programmets namn och/eller affärsnamn. Skapad den datum och tid då ett program skapades. Ändrad den datum och tid då ett program ändrades senast. OBS! Rykte går även att kontrolleras på filer som inte är program/processer som körs - markera filer som ska kontrolleras, högerklicka på dem och välj Avancerade alternativ > Kontrollera filrykte med ESET LiveGrid på kontextmenyn Sändning av prover till analys Denna dialogruta gör det möjligt att skicka en fil eller plats till ESET för analys och finns i Verktyg > Skicka in prov för analys. Om du hittar en fil som beter sig misstänkt på datorn eller en misstänkt webbplats på internet kan du skicka den till ESET:s viruslaboratorium för analys. Om filen visar sig vara ett skadligt program eller en skadlig webbplats läggs den till i en kommande uppdatering. Det går även att skicka filen med e-post. Om du föredrar detta alternativ, arkivera filerna med WinRAR/ZIP, skydda arkivet med lösenordet "infected" och skicka det till samples@eset.com. Kom i håg att skriva tydligt i ämnesraden vad det rör sig om och ta med så mycket information som möjligt om filen (t.ex. webbplatsen där du hämtade filen). OBS! Innan du skickar ett prov till ESET, kontrollera att det uppfyller ett eller flera av följande villkor: filen eller webbplatsen är inte alls detekterad, filen eller webbplatsen är felaktigt detekterad som ett hot. Du får inget svar om inte närmare information krävs för en analys. Välj beskrivningen på rullgardinsmenyn Orsak att skicka in provet som bäst motsvarar meddelandet: Misstänkt fil Misstänkt webbplats (en webbplats som är infekterad av skadlig kod), Falsk positiv fil (fil som detekterats som infekterad men inte är infekterad), Falsk positiv webbplats Annat Fil/webbplats sökväg till filen eller webbplatsen som du tänker skicka in. 93

94 E-postadress e-postadressen skickas tillsammans med misstänkta filer till ESET och används för att kontakta dig om det krävs ytterligare information för analysen. Att ange en e-postadress är valfritt. Du kommer inte att få något svar från ESET såvida det inte behövs mer information. Våra servrar tar varje dag emot tiotusentals filer vilket gör det omöjligt att svara på alla bidrag Meddela via e-post ESET Endpoint Antivirus kan skicka meddelanden via e-post automatiskt om en händelse med vald detaljnivå inträffar. Välj Skicka meddelanden via e-post om du vill aktivera meddelanden via e-post. SMTP-server SMTP-server SMTP-servern används för att skicka meddelanden (t.ex. smtp.provider.com:587, fördefinierad port är 25). OBS! SMTP-servrar med TLS-kryptering stöds av ESET Endpoint Antivirus. Användarnamn och lösenord om autentisering krävs för SMTP-servern ska dessa fält fyllas i med ett giltigt användarnamn och lösenord som ger åtkomst till SMTP-servern. Avsändarens adress detta fält anger avsändaradressen som visas i huvudet på meddelanden som går via e-post. Mottagaradresser detta fält anger mottagaradresserna som visas i huvudet på meddelanden som går via e-post. Använd semikolon ";" för att separera olika e-postadresser. 94

95 I listrutan Minimalt omfång för meddelanden kan du välja från vilken allvarlighetsnivå meddelanden ska skickas. Diagnostik loggar information som behövs för att fininställa programmet och alla poster ovan. Information loggar alla informationsmeddelanden, exempelvis ovanliga nätverkshändelser, inklusive framgångsrika uppdateringar och alla poster ovan. Varningar registrerar kritiska fel och varningsmeddelanden (Antistealth körs inte korrekt eller uppdateringen misslyckades). Fel fel (dokumentskyddet startades inte) och kritiska fel registreras. Kritiska loggar endast kritiska fel vid start av antivirusskyddet eller infekterat system. Aktivera TLS aktivera skickande av varningar och meddelanden med stöd av TLS-kryptering. Intervall efter vilket nya e-postmeddelanden skickas (min) intervall i minuter efter vilket nya meddelanden skickas till e-postadressen. Om värdet ställs in till 0 skickas meddelandena omedelbart. Skicka varje meddelande i ett separat e-postmeddelande när det här alternativet aktiveras får mottagaren ett nytt e-postmeddelande för varje enskilt meddelande. Det kan resultera i att ett stort antal e-postmeddelanden tas emot på kort tid. Meddelandeformat Kommunikation mellan programmet och en fjärranvändare eller systemadministratör sker via e-post eller LANmeddelanden (med Windows meddelandetjänst). Standardformatet för varningsmeddelanden och meddelanden passar de flesta situationer. Under vissa omständigheter kan du behöva ändra meddelandeformatet för händelsemeddelanden. Format för händelsemeddelanden format för händelsemeddelanden som visas på fjärrdatorer. Format för meddelanden med varning om hot varningar och meddelanden om hot har ett fördefinierat standardformat. Vi rekommenderar inte att du ändrar detta format. Under vissa omständigheter (om du exempelvis har ett automatiskt e-postbehandlingssystem) kan du dock behöva ändra meddelandeformatet. Teckenuppsättning konverterar ett e-postmeddelande till ANSI-teckenuppsättning baserat på Windows nationella inställningar (t.ex windows-1250), Unicode (UTF-8), ACSII 7-bitars (t.ex. ändras ett á till a och okända symboler till?) eller Japanska (ISO-2022-JP). Använd QP-kodning e-postmeddelandets källa kodas till formatet QP (Quoted printable) som använder ASCIItecken och överför särskilda tecken med e-post i 8-bitarsformat (áéíóú) korrekt. Nyckelord (strängar som separeras av %-tecknet) ersätts i meddelandet med den specifika informationen för varningen. Följande nyckelord finns tillgängliga: %ComputerName% namnet på den dator där varningen utlöstes. %ProgramName% programmet som genererade varningen. %TimeStamp% datum och tid för händelsen. %UserName% namnet på den loggade användare där varningen utlöstes. %InfectedObject% namn på infekterad fil, meddelande, osv. %VirusName% identifiering av infektionen. %ErrorDescription% beskrivning av en icke-virushändelse. %Scanner% modulen i fråga. %Action% åtgärd vidtagen mot infiltreringen. Nyckelorden %InfectedObject% och %VirusName% används endast i varningsmeddelanden om hot, och % ErrorDescription% används endast i meddelanden om händelser. 95

96 Karantän Karantänens huvudsakliga uppgift är att säkert lagra infekterade filer. Filer som inte kan rensas, inte är säkra eller lämpliga att ta bort eller om de är felaktigt identifierade av antivirusskyddet bör sättas i karantän i ESET Endpoint Antivirus. Det går att sätta alla filer i karantän. Det rekommenderas om en fil uppträder misstänkt men inte upptäcks av antivirusskannern. Det går att skicka filer i karantän till ESET:s viruslaboratorium för analys. Filer som lagras i karantänmappen går att visa i en tabell med uppgifter om datum och tid för karantänen, sökvägen till den infekterade filens ursprungliga plats, storleken i byte, orsak (till exempel objekt tillagt av användaren) och antalet hot (till exempel om det är ett arkiv med flera infiltreringar). Sätta filer i karantän ESET Endpoint Antivirus sätter automatiskt borttagna filer i karantän (om alternativet inte inaktiverades i varningsfönstret). Det går att manuellt sätta en misstänkt fil i karantän genom att klicka på Karantän. Originalfilen tas då bort från ursprungsplatsen. Kontextmenyn kan även användas för detta ändamål: högerklicka i fönstret Karantän och välj Karantän. Återställa från karantän Det går att återställa filer i karantän till sina ursprungliga platser. Om du vill återställa en fil i karantän högerklickar du i fönstret Karantän och väljer Återställ i kontextmenyn. Om en fil är markerad som potentiellt oönskat program är även Återställ och exkludera från genomsökning tillgängligt. På kontextmenyn finns även alternativet Återställ till... som återställer en fil till en annan plats från vilken filen togs bort. Ta bort från karantän högerklicka på önskat objekt och välj Ta bort från karantän eller markera objektet du vill ta bort och tryck på Delete på tangentbordet. Det går även att markera flera objekt och ta bort dem samtidigt. OBS! Om programmet av misstag satt en ofarlig fil i karantän ber vi dig undanta den filen från genomsökning efter att du har återställt den, samt skicka filen till ESET:s kundtjänst. 96

97 Skicka in en fil från Karantän Om du sätter en misstänkt fil som inte har upptäckts av programmet i karantän eller om en fil felaktigt bedöms vara ett hot och därför sätts i karantän, ber vi dig skicka filen till ESET:s viruslaboratorium. Skicka en fil från karantänen genom att högerklicka på den och välja Skicka in för analys på kontextmenyn Microsoft Windows-uppdatering Windows-uppdateringar är en viktig komponent som skyddar användarna från skadlig programvara. Därför är det viktigt att installera alla uppdateringar för Microsoft Windows så snart de blir tillgängliga. ESET Endpoint Antivirus meddelar dig om saknade uppdateringar enligt den säkerhetsnivå du angett. Följande nivåer finns tillgängliga: Inga uppdateringar inga systemuppdateringar erbjuds för hämtning. Valfria uppdateringar uppdateringar markerade med låg och högre prioritet erbjuds för hämtning. Rekommenderade uppdateringar uppdateringar markerade med vanlig och högre prioritet erbjuds för hämtning. Viktiga uppdateringar uppdateringar markerade med viktig och högre prioritet erbjuds för hämtning. Kritiska uppdateringar endast kritiska uppdateringar erbjuds för hämtning. Klicka på OK för att spara ändringarna. Fönstret Systemuppdateringar visas efter statusverifiering mot uppdateringsservern. Informationen om systemuppdatering kanske inte finns tillgänglig omedelbart efter att ändringarna sparats ESET CMD Med den här funktionen går det att använda avancerade ecmd-kommandon. Då kan du exportera och importera inställningar via kommandoraden (ecmd.exe). Tidigare har det endast varit möjligt att exportera och importera inställningar via GUI. ESET Endpoint Antivirus-konfigurationer kan exporteras till en.xml-fil. När ESET CMD har aktiverats finns det två auktoriseringsmetoder att välja mellan: Ingen - Ingen auktorisering Den här metoden bör inte användas eftersom den tillåter import av alla osignerade konfigurationer, vilket medför potientiella risker. Lösenord till avancerade inställningar använder lösenordsskydd. När en konfiguration importeras från en.xml-fil måste denna vara signerad (se signering av.xml-konfigurationsfiler längre ned). Med den här auktoriseringsmetoden verifieras lösenordet när konfigurationen importeras för att säkerställa att den matchar lösenordet i Inställningar för åtkomst. Om åtkomstinställningarna inte har aktiverats, lösenorden inte överensstämmer eller.xml-konfigurationsfilen inte är signerad, så importeras inte konfigurationen. När ESET CMD har aktiverats kan du börja använda kommandoraden för att exportera/importera ESET Endpoint Antivirus-konfigurationer. Du kan göra detta manuellt eller automatisera det med ett skript. VIKTIGT! För att kunna använda avancerade ecmd-kommandon måste du ha administratörsbehörighet eller öppna Windows kommandoprompt (cmd) med Kör som administratör. Annars visas meddelandet Error executing command.. När en konfiguration exporteras måste det dessutom finnas en målmapp. OBS! Avancerade ecmd-kommandon kan endast köras lokalt. Det fungerar inte att använda en körkommandoaktivitet med ERA på klientdatorn. EXEMPEL Kommando för export av inställningar: ecmd /getcfg c:\config\settings.xml Kommando för import av inställningar: ecmd /setcfg c:\config\settings.xml 97

98 Signera en.xml-konfigurationsfil: 1. Hämta XmlSignTool från sidan för hämtning av ESET-verktyg och extrahera det. Det här verktyget är framtaget särskilt för att signera.xml-konfigurationsfiler från ESET. 2. Öppna Windows kommandoprompt (cmd) med Kör som administratör. 3. Navigera till en plats med XmlSignTool.exe. 4. Kör ett kommando för att signera.xml-konfigurationsfilen, och använd: XmlSignTool <xml_file_path> 5. Ange och upprepa lösenordet till avancerade inställningar när du ombeds att göra det av XmlSignTool. Nu är.xml-konfigurationsfilen signerad och kan användas för import till en annan instans av ESET Endpoint Antivirus med ESET CMD med hjälp av auktoriseringsmetoden Lösenord till avancerade inställningar. VARNING! ESET CMD bör inte aktiveras utan auktorisering, eftersom import av osignerade konfigurationer då tillåts. Ställ in lösenordet i Avancerade inställningar > Användargränssnitt > Inställningar för åtkomst för att förhindra att användare gör obehöriga ändringar Användargränssnitt Avsnittet Användargränssnitt gör det möjligt att konfigurera hur programmets GUI (grafiskt användargränssnitt) beter sig. Använd verktyget Element i användargränssnitt för att justera programmets utseende och effekterna som används. För att tillhandahålla maximal säkerhet för säkerhetsprogrammet går det att förhindra obehöriga ändringar med hjälp av verktyget Inställningar för åtkomst. Genom att konfigurera Varningar och meddelanden går det att ändra beteendet vid varningar om upptäckta hot och systemmeddelanden. Det går att anpassa dessa till dina behov. Väljer du att inte visa vissa meddelanden, så visas de i Element i användargränssnitt > Programstatusar. Här kan du kontrollera deras status eller förhindra att dessa meddelanden visas. Integrering med kontextmeny visas när du högerklickar på det markerade objektet. Använd detta verktyg för att integrera kontrollelementen i ESET Endpoint Antivirus i kontextmenyn. Presentationsläget är användbart för användare som vill arbeta med ett program utan att störas av popup-fönster, schemalagda aktiviteter och komponenter som belastar processorn och RAM-minnet Element i användargränssnitt Konfigurationsalternativen för användargränssnittet i ESET Endpoint Antivirus justerar programmet så att det passar dina behov. Dessa konfigurationsalternativ finns i grenen Användargränssnitt > Element i användargränssnitt i trädet Avancerade inställningar för ESET Endpoint Antivirus. I avsnittet Element i användargränssnitt kan du justera arbetsmiljön. Använd listrutan Startläge för att välja bland följande GUI-startlägen: Fullständigt hela det grafiska gränssnittet visas. Minimalt GUI är inte tillgängligt, utan endast meddelanden visas för användaren. Manuellt inga meddelanden eller varningar visas. Tyst varken GUI, meddelanden eller varningar visas. Det här läget kan vara användbart i situationer då systemresurser behöver bevaras. Tyst läge kan endast startas av administratören. OBS! När minimalt GUI-startläge väljs och datorn startas om visas meddelanden, men inte det grafiska gränssnittet. Om du vill återgå till läget för fullständigt grafiskt gränssnitt kör du GUI från startmenyn under Alla program > 98

99 ESET > ESET Endpoint Antivirus som administratör, eller så kan detta göras via ESET Remote Administrator med hjälp av en policy. Inaktivera ESET Endpoint Antivirus startbild genom att avmarkera alternativet Visa startbild vid start. Om du vill att ESET Endpoint Antivirus ska spela ett ljud när en viktig händelse inträffar, till exempel när ett hot har upptäckts eller när genomsökningen har slutförts, väljer du Använd ljudsignal. Integrera i kontextmenyn integrera kontrollelementen i ESET Endpoint Antivirus i kontextmenyn. Statusar Programstatusar klicka på knappen Redigera för att hantera (inaktivera) statusar som visas i fönstret Skyddsstatus på huvudmenyn. Licensinformation Visa licensinformation när alternativet är inaktiverat visas inte licensinformationen i Skyddsstatus och Hjälp och support. Visa licensmeddelanden när alternativet är inaktiverat visas licensmeddelanden endast när licensen gått ut. OBS! Inställningarna för licensinformation tillämpas men är inte åtkomliga för ESET Endpoint Antivirus aktiverat med MSP-licens. 99

100 Inställningar för åtkomst För att ge maximalt skydd för systemet är det mycket viktigt att ESET Endpoint Antivirus är korrekt konfigurerat. Okvalificerade ändringar kan leda till att du förlorar viktig information. Om du vill undvika obehöriga ändringar går det att lösenordsskydda inställningsparametrarna för ESET Endpoint Antivirus. Konfigurationsinställningarna för lösenordsskydd finns i Avancerade inställningar (F5) under Användargränssnitt > Inställningar för åtkomst. Lösenordsskydda inställningar ange lösenordsinställningar. Klicka för att öppna inställningsfönstret Lösenord. Klicka på Ange för att ange eller ändra lösenordet som skyddar inställningsparametrarna. Kräv fullständig administratörsbehörighet för begränsade administratörskonton lämna det här alternativet aktivt för att uppmana den aktuella användaren (om användaren inte har administratörsbehörighet) att ange användarnamn och lösenord på administratörsnivå vid ändring av vissa systemparametrar (liknande UAC i Windows Vista). Ändringarna inkluderar inaktivering av skyddsmoduler. Endast för Windows XP: Kräv administratörsbehörighet (system utan UAC-stöd) aktivera det här alternativet om du vill att ESET Endpoint Antivirus ska fråga efter administratörsuppgifter. 100

101 Varningar och meddelanden Avsnittet Varningar och meddelanden under Användargränssnitt gör det möjligt att konfigurera hur varningar om hot och systemmeddelanden (t.ex. meddelanden om utförd uppdatering) hanteras av ESET Endpoint Antivirus. Det går även att ange visningstid samt genomskinlighet för systemmeddelanden (gäller endast system som stöder systemmeddelanden). Varningsfönster Om du avmarkerar Visa varningar visas inga varningar och är endast lämpligt för ett mycket begränsat antal situationer. Vi rekommenderar att detta alternativ ställs in på standardinställningen (aktiverat). Meddelanden på skrivbordet Meddelanden på skrivbordet och tipsbubblor är bara informativa och kräver ingen åtgärd från användaren. De visas i meddelandefältet längst ned till höger på skärmen. Aktivera visning av Meddelanden på skrivbordet genom att välja Visa meddelanden på skrivbordet. Aktivera Visa inte meddelanden när program körs i helskärmsläge om du vill dölja alla meddelanden som inte kräver interaktion. Mer detaljerade alternativ, som t.ex. hur länge meddelandena ska visas och fönstrens genomskinlighet, kan du ändra nedan. I listrutan Minsta omfång för händelser som ska visas kan du välja allvarlighetsnivå för visade varningar och meddelanden. Följande alternativ finns tillgängliga: Diagnostik loggar information som behövs för att fininställa programmet och alla poster ovan. Informativ loggar alla informationsmeddelanden, inklusive framgångsrika uppdateringar och alla poster ovan. Varningar registrerar kritiska fel och varningsmeddelanden. Fel fel som Fel när filen hämtades och kritiska fel registreras. Kritiska loggar endast kritiska fel (fel vid start av antivirusskyddet, osv.). Den sista funktionen i detta avsnitt konfigurerar mottagare av meddelanden i ett system med flera användare. I fältet På system med flera användare ska meddelanden visas på följande användares skärm anges vilken användare som får systemmeddelanden och andra meddelanden på system som tillåter att flera användare ansluter samtidigt. I vanliga fall är detta system- eller nätverksadministratören. Alternativet är användbart på i synnerhet terminalservrar, under förutsättning att alla systemmeddelanden skickas till administratören. 101

102 Meddelanderutor Vill du att popup-fönster stängs automatiskt efter en viss tid, markera Stäng meddelanderutor automatiskt. Stänger användaren inte själv varnings- och meddelandefönster, stängs de automatiskt efter den angivna tiden. Bekräftelsemeddelande visar en lista med bekräftelsemeddelanden du kan välja att visa eller inte visa Konfliktfel i avancerade inställningar Det här felet kan inträffa om en komponent (till exempel HIPS) och användaren skapar regler i interaktivt läge eller inlärningsläge samtidigt. VIKTIGT! Vi rekommenderar att filtreringsläget ändras till standardinställningen Automatiskt läge om du vill skapa egna regler. Läs mer om HIPS och filtreringslägen Systemfältsikonen Vissa av de viktigaste inställningsalternativen och funktionerna är åtkomliga genom att du högerklickar på systemfältsikonen. Pausa skydd visar bekräftelsedialogrutan som inaktiverar Skydd mot virus och spionprogram, som skyddar mot angrepp genom att kontrollera filer samt webb- och e-postkommunikation. Rullgardinsmenyn Tidsintervall visar tidsperioden när skyddet mot virus och spionprogram är inaktiverat. Avancerade inställningar välj detta alternativ för att öppna trädet Avancerade inställningar. Du kan även komma åt Avancerade inställningar genom att trycka på F5 eller öppna Inställningar > Avancerade inställningar. 102

103 Loggfiler loggfilerna innehåller information om viktiga programhändelser som har inträffat och ger en översikt över upptäckta hot. Dölj ESET Endpoint Antivirus döljer ESET Endpoint Antivirus-fönstret från skärmen. Återställ fönsterlayout återställer ESET Endpoint Antivirus-fönsterlayouten till standardstorlek och standardplacering på bildskärmen. Söker efter uppdateringar... börjar uppdatera programmodulerna för att säkerställa skyddet mot skadlig kod. Om ger systeminformation och visar den installerade versionen av ESET Endpoint Antivirus och de installerade programmodulerna samt licensens utgångsdatum. Nederst på sidan finns information om operativsystem och systemresurser Kontextmeny Kontextmenyn visas när du högerklickar på ett objekt (en fil). På menyn listas alla åtgärder som kan utföras på ett objekt. Det går att integrera kontrollelementen i ESET Endpoint Antivirus i kontextmenyn. Inställningsalternativen för funktionen finns i trädet Avancerade inställningar, under Användargränssnitt > Element i användargränssnitt. Integrera i kontextmenyn integrera kontrollelementen i ESET Endpoint Antivirus i kontextmenyn Avancerade användare Profilhanteraren Profilhanteraren används på två platser i ESET Endpoint Antivirus i avsnittet Genomsökning av datorn på begäran och i avsnittet Uppdatera. Genomsökning av datorn på begäran Det går att spara genomsökningsinställningarna för framtida genomsökning. Vi rekommenderar att skapar en profiler (med olika genomsökningsobjekt, genomsökningsmetoder och andra parametrar) för varje regelbunden genomsökning. Skapa en ny profil genom att öppna fönstret Avancerade inställningar (F5) och klicka på Antivirus > Genomsökning av datorn på begäran och sedan Redigera intill Lista över profiler. I listrutan Uppdateringsprofil listas befintliga genomsökningsprofiler. Skapa en genomsökningsprofil som motsvarar dina behov med hjälp av avsnittet Parameterinställningar för ThreatSense-motorn som innehåller en beskrivning av varje parameter i genomsökningsinställningen. Exempel: Anta att du vill skapa en egen genomsökningsprofil och smart genomsökning är delvis lämplig, men du vill inte genomsöka internt packade filer eller potentiellt farliga program, och dessutom vill du använda Strikt rensning. Ange namnet på den nya profilen i fönstret Profilhanteraren och klicka på Lägg till. Välj den nya profilen i listrutan Uppdateringsprofil och justera de återstående parametrarna så att de uppfyller dina krav och klicka på OK för att spara den nya profilen. 103

104 Uppdatering Med profilredigeraren i avsnittet för uppdateringsinställningar kan användaren skapa nya uppdateringsprofiler. Skapa och använd dina egna anpassade profiler (dvs. andra profiler än standardprofilen Min profil) endast om datorn har flera sätt att ansluta till uppdateringsservrar. Två profiler kan exempelvis användas av en bärbar dator som normalt ansluts till en lokal server (spegel) i det lokala nätverket, men som hämtar uppdateringar direkt från ESET:s uppdateringsservrar när den inte är ansluten till det lokala nätverket (t.ex. på en affärsresa), den första för anslutning till den lokala servern och den andra för anslutning till ESET:s servrar. När dessa profiler konfigurerats går du till Verktyg > Schemaläggaren och redigerar parametrarna för uppdateringsaktiviteten. Ange att en av profilerna ska vara primär och den andra sekundär. Uppdateringsprofil den uppdateringsprofil som för närvarande används. Om du vill ändra den anger du en annan profil i rullgardinsmenyn. Lista över profiler skapa nya eller ta bort befintliga uppdateringsprofiler Diagnostik Diagnostik tillhandahåller kraschdumpar från ESET-processer (t.ex. ekrn). Om ett program kraschar, skapas en minnesdump. Detta kan hjälpa utvecklare att felsöka och korrigera olika problem i ESET Endpoint Antivirus. Klicka på listrutan intill Dumptyp och välj ett av de tre alternativen: Välj Inaktivera (standard) om du vill inaktivera funktionen. Mini sparar en liten uppsättning användbar information som kan hjälpa till att identifiera varför programmet kraschade oväntat. Denna typ av dumpfil är användbar vid begränsat utrymme. På grund av den begränsade mängden information går det dock kanske inte vid en analys av den här filen att upptäcka fel som inte direkt orsakades av tråden som kördes vid tiden för problemet. Fullständig sparar hela innehållet i systemminnet när programmet stannar oväntat. En fullständig minnesdump kan innehålla data från processer som kördes när minnesdumpen samlades in. Aktivera avancerad loggning för protokollfiltrering registrera all data som passerar genom protokollfiltreringsmotorn PCAP-format för att hjälpa utvecklare att diagnostisera och åtgärda problem relaterade till protokollfiltrering. Aktivera avancerad loggning av uppdateringsmotor registrera alla händelser som inträffar under uppdateringen. Detta kan hjälpa utvecklare att diagnostisera och åtgärda problem relaterade till uppdateringsmotorn. Aktivera avancerad loggning för licensiering registrera all produktkommunikation med licensservern. Aktivera avancerad loggning för spamskyddsmotor registrera alla händelser som inträffar under genomsökning efter spam. Detta kan hjälpa utvecklare att diagnostisera och åtgärda problem relaterade till ESET Antispam-motorn. Aktivera avancerad loggning av operativsystem ytterligare information om operativsystemet, till exempel processer som körs, processoraktivitet, diskåtgärder och så vidare, samlas in. Denna kan hjälpa utvecklare att diagnostisera och åtgärda problem relaterade till ESET-produkter som körs i operativsystemet. Loggfilerna finns i: C:\ProgramData\ESET\ESET Security\Diagnostics\ i Windows Vista och senare eller C:\Documents and Settings\All Users\... i äldre Windows-versioner. Målkatalog katalogen där dumpen skapas vid kraschen. Öppna diagnostikmappen klicka på Öppna för att öppna katalogen i ett nytt fönster i Utf orskaren. Skapa diagnostikdump klicka på Skapa om du vill skapa diagnostiska dumpfiler i målkatalogen. 104

105 Importera och exportera inställningar Det går att importera eller exportera dina anpassade ESET Endpoint Antivirus.xml-konfigurationsfiler från menyn Inställningar. Import och export av konfigurationsfiler är praktisk om du vill säkerhetskopiera den aktuella konfigurationen av ESET Endpoint Antivirus för användning senare. Alternativet exportinställningar är också praktiskt för användare som vill använda sin föredragna konfiguration på flera system de kan enkelt importera en.xml-fil för att överföra dessa inställningar. Det är mycket enkelt att importera en konfiguration. Klicka på Inställningar > Importera/exportera inställningar på huvudmenyn och välj sedan Importera inställningar. Ange konfigurationsfilens namn eller klicka på knappen... för att söka efter konfigurationsfilen du vill importera. Stegen för att exportera en konfiguration är snarlika. Klicka på Inställningar > Importera/exportera inställningar på huvudmenyn. Välj Exportera inställningar och ange konfigurationsfilens namn (dvs. export.xml ). Använd webbläsaren för att välja en plats på din dator där konfigurationsfilen sparas. OBS! Det kan uppstå ett fel vid export av inställningarna om du inte har tillräcklig behörighet att skriva den exporterade filen till en viss katalog Kommandorad Det går att starta antivirusmodulen i ESET Endpoint Antivirus via kommandoraden, antingen manuellt (med kommandot ecls) eller med en kommandofil (.bat). Användning av ESET kommandoradsskanner: ecls [ALTERNATIV..] FILER... Det går att använda följande parametrar och växlar när genomsökning körs från kommandoraden: Alternativ /base-dir=mapp /quar-dir=mapp /exclude=mask /subdir /no-subdir läs in moduler från MAPP karantän-mapp undanta filer från genomsökning som matchar MASK genomsök undermappar (standard) genomsök inte undermappar 105

106 /max-subdir-level=nivå /symlink /no-symlink /ads /no-ads /log-file=fil /log-rewrite /log-console /no-log-console /log-all /no-log-all /aind /auto maximal undernivå för mappar inom mappar som ska genomsökas följ symboliska länkar (standard) hoppa över symboliska länkar genomsök ADS (standard) genomsök inte ADS logga utdata till FIL skriv över utdatafilen (standard lägg till) logga utdata till konsol (standard) logga inte utdata till konsol logga även rena filer logga inte rena filer (standard) visa aktivitetsindikator skanna och rensa alla lokala diskar automatiskt Skanneralternativ /files /no-files /memory /boots /no-boots /arch /no-arch /max-arch-size=storlek /max-arch-level=nivå /scan-timeout=gräns /max-arch-size=storlek /max-sfx-size=storlek /mail /no-mail /mailbox /no-mailbox /sfx /no-sfx /rtp /no-rtp /unsafe /no-unsafe /unwanted /no-unwanted /suspicious /no-suspicious /pattern /no-pattern /heur /no-heur /adv-heur /no-adv-heur /ext=tillägg /ext-exclude=tillägg 106 genomsök filer (standard) genomsök inte filer skanna minne genomsök startsektorer genomsök inte startsektorer (standard) genomsök arkiv (standard) genomsök inte arkiv genomsök endast filer som är mindre än STORLEK megabyte (standard 0 = obegränsad) maximal undernivå för arkiv inom arkiv (kapslade arkiv) som ska genomsökas genomsök arkiv i max GRÄNS sekunder genomsök endast filerna i ett arkiv om de är mindre än STORLEK (standard 0 = obegränsad) genomsök endast filerna i ett självuppackande arkiv om de är mindre än STORLEK megabyte (standard 0 = obegränsad) genomsök e-postfiler (standard) genomsök inte e-postfiler genomsök brevlådor (standard) genomsök inte brevlådor genomsök självuppackande arkiv (standard) genomsök inte självuppackande arkiv genomsök internt packade filer (standard) genomsök inte internt packade filer sök efter potentiellt farliga program sök inte efter potentiellt farliga program (standard) sök efter potentiellt oönskade program sök inte efter potentiellt oönskade program (standard) genomsök efter misstänkta program (standard) genomsök inte efter misstänkta program använd signaturer (standard) använd inte signaturer aktivera heuristik (standard) inaktivera heuristik aktivera Avancerad heuristik (standard) inaktivera Avancerad heuristik genomsök endast TILLÄGG avgränsade med kolon undanta TILLÄGG avgränsade med kolon från genomsökning

107 /clean-mode=läge /quarantine /no-quarantine använd LÄGE för rensning av infekterade objekt Följande alternativ finns tillgängliga: ingen Ingen automatisk rensning sker. standard (standardinställningen) ecls.exe försöker rensa eller ta bort infekterade filer automatiskt. strikt ecls.exe försöker rensa eller ta bort infekterade filer automatiskt utan att du behöver göra något (du meddelas inte innan filer tas bort). utförlig ecls.exe försöker ta bort filer utan att rensa dem oavsett vad det är för fil. ta bort ecls.exe försöker ta bort filer utan att rensa dem, men undviker att ta bort känsliga filer som Windows-systemfiler. kopiera infekterade filer (om rensade) till karantän (kompletterar åtgärden som utförs vid rensning) kopiera inte infekterade filer till karantän Allmänna alternativ /help /version /preserve-time visa hjälp och avsluta visa versionsinformation och avsluta bevara tidsstämpeln för senaste åtkomst Slutkoder inga hot upptäcktes hot upptäcktes och rensades det gick inte att genomsöka en del filer (kan vara hot) hot upptäckt fel OBS! Slutkoder som överskrider 100 betyder att filen inte har genomsökts och därför kan vara infekterad Detektering av inaktivt tillstånd Det går att konfigurera inställningarna för detektering av inaktivt tillstånd i Avancerade inställningar under Antivirus > Genomsökning vid inaktivitet > Detektering av inaktivt tillstånd. Dessa inställning att anger en utlösning av Detektering av inaktivt tillstånd när: skärmsläckaren är aktiv, datorn är låst, en användare loggar ut. Använd reglagen för respektive status för att aktivera och inaktivera utlösarna för detektering av inaktivt tillstånd ESET SysInspector Introduktion till ESET SysInspector ESET SysInspector är ett program som inspekterar datorn noggrant och visar insamlade data på ett omfattande sätt. Information om installerade drivrutiner och program, nätverksanslutningar eller viktiga registerposter kan hjälpa dig utreda misstänkta beteenden i systemet på grund av problem med program eller maskinvara, eller infektion med skadlig kod. Det går att öppna ESET SysInspector på två sätt: Från den integrerade versionen i ESET Security-lösningar eller genom att hämta den fristående versionen (SysInspector.exe) gratis på ESET:s webbplats. Båda versionerna har identiska funktioner och har samma programkontroller. Den enda skillnaden är hanteringen av utdata. De fristående och integrerade versionerna exporterar systemavbildningar till en.xml-fil och sparar dem på disken. Det integrerade versionen gör det dock möjligt att lagra systemavbildningar direkt i Verktyg > ESET SysInspector (utom ESET Remote Administrator). Se avsnittet ESET SysInspector som en del av ESET Endpoint Antivirus. 107

108 Det tar en liten stund för ESET SysInspector att genomsöka datorn. Det kan ta från tio sekunder upp till ett par minuter beroende på maskinvarukonfigurationen, operativsystemet och antalet program som installerats på datorn Starta ESET SysInspector Starta ESET SysInspector genom att köra filen SysInspector.exe du hämtade från ESET:s webbplats. Om du redan har installerat någon av ESET Security-lösningarna går det att köra ESET SysInspector direkt från Start-menyn (klicka på Program > ESET > ESET Endpoint Antivirus). Vänta medan programmet undersöker ditt system, det kan ta upp till flera minuter Användargränssnitt och programanvändning Huvudfönstret delas in i fyra huvudsektioner: Programkontroller längst upp, fönstret Navigering till vänster, fönstret Beskrivning till höger i mitten och fönstret Detaljer längst ned till höger i programmets huvudfönster. Avsnittet Loggstatus visar de grundläggande parametrarna i en logg (använt filter, filtertyp, är loggen en jämförelse osv.) Programkontroller Detta avsnitt beskriver alla programkontroller i ESET SysInspector. Arkiv Klicka på Arkiv för att spara den aktuella rapporten och undersöka den vid ett senare tillfälle eller öppna en rapport som har sparats vid ett tidigare tillfälle. I publiceringssyfte rekommenderar vi att skapa en logg Lämplig att skicka. I denna form utelämnar loggen känslig information (aktuellt användarnamn, datornamn, domännamn, aktuella användarprivilegier, miljövariabler osv.). OBS! 108

109 Det går att öppna tidigare sparade ESET SysInspector-rapporter genom att dra och släppa dem i huvudfönstret. Funktionaliteten är av säkerhetsskäl inte tillgänglig i Windows Vista. Träd Gör det möjligt att visa eller dölja alla noder och exportera valda sektioner till Tjänsteskript. Lista Innehåller funktioner som underlättar navigering i programmet och andra funktioner som t.ex. att hitta information online. Hjälp Innehåller information om programmet och dess funktioner. Information Denna inställning påverkar informationen som visas i huvudfönstret för att göra det enklare att arbeta med informationen. Läget Grundläggande ger tillgång till information som används för att hitta lösningar till vanliga problem i systemet. I läget Medel visar programmet färre uppgifter. I läget Fullständig visar ESET SysInspector all information som krävs för att lösa mycket specifika problem. Filtrering Objektfiltrering används oftast för att hitta misstänkta filer eller registerposter i systemet. Justera reglaget för att filtrera objekt efter risknivå. Om reglaget flyttas längst till vänster (Risknivå 1) visas alla objekt. Om du flyttar reglaget till höger filtrerar programmet ut alla objekt som är mindre riskfyllda än den aktuella risknivån och objekt som är mer misstänkta än den angivna nivån visas. Om reglaget flyttas längst till höger visas endast kända och skadliga objekt i programmet. Alla objekt märkta som risk 6 till 9 är potentiella säkerhetsrisker. Om du inte använder en ESET säkerhetslösning, rekommenderar vi att du genomsöker systemet med ESET Online Scanner om ESET SysInspector har hittat ett sådant objekt. ESET Online Scanner är en gratistjänst. OBS! Du kan snabbt fastställa risknivån på ett objekt genom att jämföra färgen på objektet med färgen i reglaget för risknivå. Jämför När du jämför två loggar kan du välja att visa alla objekt, endast tillagda objekt, endast borttagna objekt eller endast ersatta objekt. Sök Sökfunktionen används för att snabbt hitta ett specifikt objekt genom att ange namnet eller en del av namnet. Sökresultatet visas i fönstret Beskrivning. Återgå Återvänd till informationen som visades tidigare i fönstret Beskrivning genom att klicka på bakåt- eller framåtpilen. Du kan även använda tangenterna för backsteg respektive blanksteg i stället för att klicka bakåt och framåt. Statussektion Visar aktuell nod i fönstret Navigering. VIKTIGT! Objekt som markeras med rött är okända och har därför markerats som potentiellt farliga av programmet. Om ett objekt visas i rött betyder det inte automatiskt att du kan ta bort filen. Innan du tar bort några filer bör du kontrollera om de verkligen är farliga eller onödiga. 109

110 Navigera i ESET SysInspector ESET SysInspector delar upp olika typer av information i flera grundläggande sektioner som kallas för noder. Om det finns ytterligare information kan du se den genom att expandera varje nod och visa undernoderna. Visa eller dölj en nod genom att dubbelklicka på nodens namn eller klicka på eller intill nodens namn. Om du bläddrar genom trädstrukturen med noder och undernoder i navigeringsfönstret visas olika information i beskrivningsfönstret för varje nod. Om du bläddrar genom objekt i beskrivningsfönstret visas eventuellt ytterligare information i detaljfönstret för varje objekt. Nedanstående beskrivningar gäller huvudnoderna i navigeringsfönstret och relaterad information i beskrivningsoch detaljfönstren. Processer som körs Denna nod innehåller information om program och processer som körs när rapporten skapas. Du kan hitta ytterligare information för varje process i beskrivningsfönstret, som t.ex. de dynamiska bibliotek som används av processen och var i systemet de finns, namnet på programmets leverantör och filens risknivå. Detaljfönstret innehåller ytterligare information, som t.ex. filstorlek eller hash-värde, för objekt som markeras i beskrivningsfönstret. OBS! Ett operativsystem består av flera viktiga kernelkomponenter som körs oavbrutet och som tillhandahåller grundläggande och nödvändiga funktioner för andra användarprogram. I vissa fall visas sådana processer i verktyget ESET SysInspector med en filsökväg som börjar med \??\. Symbolerna betyder att optimering innan start tillhandahålls för de processerna, de är säkra för systemet. Nätverksanslutningar I beskrivningsfönstret visas en lista över processer och program som kommunicerar över nätverket med hjälp av det protokoll som har angetts i navigeringsfönstret (TCP eller UDP) tillsammans med fjärradressen som programmet är anslutet till. Det går även att kontrollera IP-adresser för DNS-servrar. Detaljfönstret innehåller ytterligare information, som t.ex. filstorlek eller hash-värde, för objekt som markeras i beskrivningsfönstret. Viktiga registerposter Innehåller en lista över angivna registerposter som ofta rör olika problem med systemet som t.ex. poster som anger startprogram, webbläsartillägg (BHO) osv. I beskrivningsfönstret kan du hitta information om vilka filer som hör till olika registerposter. Ytterligare information visas eventuellt i detaljfönstret. Tjänster I beskrivningsfönstret visas en lista över filer som har registrerats som Windows-tjänster. Du kan kontrollera på vilket sätt tjänsten ska startas samt filens specifika detaljer i detaljfönstret. Drivrutiner En lista över drivrutiner som har installerats i systemet. Kritiska filer I beskrivningsfönstret visas kritiska filer som hör ihop med operativsystemet Microsoft Windows. Aktiviteter för systemets schemaläggare Innehåller en lista med aktiviteter utlösta av Windows Schemalagda aktiviteter vid en viss/visst intervall. 110

111 Systeminformation Innehåller detaljerad information om maskinvara och programvara tillsammans med information om angivna miljövariabler, användarbehörigheter och systemhändelseloggar. Filinformation En lista över viktiga systemfiler och filer i mappen Program. I beskrivnings- och detaljfönstren visas ytterligare information som gäller filerna. Om Information om ESET SysInspector version och lista med programmoduler Tangentbordsgenvägar Följande tangentgenvägar kan användas i ESET SysInspector: Arkiv Ctrl+O Ctrl+S öppnar befintlig logg sparar skapade loggar Generera Ctrl+G Ctrl+H skapar en standardavbildning av datorns status skapar en avbildning av datorns status som även kan innehålla känslig information Objektfiltrering 1, O 2 3 4, U 5 6 7, B Ctrl+9 Ctrl+0 okej, objekt från risknivån 1 9 visas okej, objekt från risknivån 2 9 visas okej, objekt från risknivån 3 9 visas okänt, objekt från risknivån 4 9 visas okänt, objekt från risknivån 5 9 visas okänt, objekt från risknivån 6 9 visas riskfyllt, objekt från risknivån 7 9 visas riskfyllt, objekt från risknivån 8 9 visas riskfyllt, objekt från risknivån 9 visas minskar risknivån ökar risknivån filtreringsläge, samma nivå eller högre filtreringsläge, endast samma nivå Visa Ctrl+5 Ctrl+6 Ctrl+7 Ctrl+3 Ctrl+2 Ctrl+1 Backsteg Blanksteg Ctrl+W Ctrl+Q visa enligt leverantör, alla leverantörer visa enligt leverantör, endast Microsoft visa enligt leverantör, alla övriga leverantörer visar fullständig information visar information på medelnivå grundläggande visning flyttar ett steg tillbaka flyttar ett steg framåt expanderar trädet döljer undernoder i trädet Andra kontroller Ctrl+T Ctrl+P Ctrl+A går till objektets ursprungliga plats när det har markerats i sökresultaten visar grundläggande information om ett objekt visar fullständig information om ett objekt 111

112 Ctrl+C Ctrl+X Ctrl+B Ctrl+L Ctrl+R Ctrl+Z Ctrl+F Ctrl+D Ctrl+E kopierar det aktuella objektets träd kopierar objekt hittar information om markerade filer på Internet öppnar mappen där den markerade filen finns öppnar motsvarande post i Registereditorn kopierar filens sökväg (om objektet hör till en fil) växlar till sökfältet stänger sökresultat kör tjänsteskript Jämförelse Ctrl+Alt+O Ctrl+Alt+R Ctrl+Alt+1 Ctrl+Alt+2 Ctrl+Alt+3 Ctrl+Alt+4 Ctrl+Alt+5 Ctrl+Alt+C Ctrl+Alt+N Ctrl+Alt+P öppnar ursprunglig logg/jämförelselogg avbryter jämförelse visar alla objekt visar endast tillagda objekt, loggen visar objekt som finns i aktuell logg visar endast borttagna objekt, loggen visar objekt som finns i föregående logg visar endast ersatta objekt (inklusive filer) visar endast skillnaderna mellan loggar visar jämförelse visar aktuell logg öppnar föregående logg Övrigt F1 Alt+F4 Alt+Shift+F4 Ctrl+I visa hjälp stäng programmet stäng programmet utan att fråga loggstatistik Jämför Funktionen Jämför gör det möjligt för användaren att jämföra två befintliga loggar. Resultatet är en uppsättning objekt som skiljer sig åt i loggarna. Det kan vara användbart om du vill spåra ändringar i systemet, ett användbart verktyg för att söka efter skadlig kod. När programmet startas skapas en ny logg som visas i ett nytt fönster. Gå till Arkiv > Spara logg för att spara loggen i en fil. Loggfiler kan öppnas och visas vid ett senare tillfälle. Använd Arkiv > Öppna logg för att öppna en befintlig logg. ESET SysInspector visar alltid en logg per gång i huvudfönstret. Fördelen med att jämföra två loggar är att det går att visa en aktuell logg och en logg sparad i en fil. Välj Arkiv > Jämför loggar och sedan Välj fil för att jämföra loggar. Den logg som du väljer jämförs med den aktiva loggen i huvudfönstret. Jämförelseloggen visar endast skillnaderna mellan loggarna. OBS! Om du jämför två loggfiler, klicka på Arkiv > Spara logg för att spara den som en ZIP-fil. Båda filerna sparas. Om filen öppnas vid ett senare tillfälle jämförs loggarna i den automatiskt. Bredvid objekten visar ESET SysInspector symboler som identifierar skillnaderna mellan de två jämförda loggarna. Beskrivning av alla symboler som kan visas bredvid objekten: 112 nytt värde, finns inte i föregående logg trädstrukturen innehåller nya värden borttaget värde, finns endast i den föregående loggen trädstrukturen innehåller borttagna värden värde / fil ändrad trädstrukturen innehåller ändrade värden / filer risknivån har minskat / den var högre i föregående logg risknivån har ökat / den var lägre i föregående logg

113 I avsnittet med förklaringarna som visas längst ned till vänster beskrivs alla symboler och namnen på de jämförda loggarna visas. Alla jämförelseloggar kan sparas i en fil och öppnas vid ett senare tillfälle. Exempel Skapa och spara en logg där ursprunglig information om systemet registreras i en fil som heter gammal.xml. När ändringar har utförts i systemet kan du öppna ESET SysInspector och låta programmet skapa en ny logg. Spara den i en fil som heter ny.xml. Spåra ändringarna mellan dessa loggar genom att klicka på Arkiv > Jämför loggar. Programmet skapar då en jämförelselogg som visar skillnaderna mellan loggarna. Samma resultat kan uppnås om du använder följande kommandoradsalternativ: SysIsnpector.exe ny.xml gammal.xml Kommandoradsparametrar ESET SysInspector stöder att rapporter genereras från kommandoraden med dessa parametrar: /gen /privacy /zip /silent /blank skapa logg direkt från kommandoraden utan att starta det grafiska användargränssnittet skapa logg utan känslig information spara resultatlogg i ett komprimerat ZIP-arkiv blockera förloppsfönstret när en logg skapas från kommandoraden starta ESET SysInspector utan att skapa/läsa in logg Exempel Användning: SysInspector.exe [load.xml] [/gen=save.xml] [/privacy] [/zip] [compareto.xml] Läs in angiven logg direkt i webbläsaren med: SysInspector.exe.\clientlog.xml Skapa logg direkt från kommandoraden med: SysInspector.exe /gen=.\mynewlog.xml Skapa logg utan känslig information direkt i en komprimerad fil med: SysInspector.exe /gen=.\mynewlog.zip /privacy /zip Jämför två loggfiler och visa skillnaderna med: SysInspector.exe new.xml old.xml OBS! Om det finns ett mellanrum i namnet på filen/mappen ska det omges av citationstecken. 113

114 Tjänsteskript Tjänsteskript är ett verktyg hjälper till kunder som använder ESET SysInspector genom att enkelt ta bort oönskade objekt från systemet. Tjänsteskriptet gör det möjligt för användaren att exportera hela ESET SysInspector-loggen eller markerade delar i den. Efter export går det att markera oönskade objekt som ska tas bort. Kör sedan den ändrade loggen för att ta bort markerade objekt. Tjänsteskriptet är lämpligt för avancerade användare som har tidigare erfarenhet av att diagnostisera problem i systemet. Icke-kvalificerade ändringar kan orsaka skada på operativsystemet. Exempel Följ anvisningarna nedan om du misstänker att datorn har infekterats av ett virus som inte har upptäckts av antivirusprogrammet. 1. Kör ESET SysInspector för att skapa en ny avbildning av systemet. 2. Markera alla objekt genom att markera det första objektet i sektionen till vänster (i trädstrukturen), tryck på Shift och markera sedan det sista objektet. 3. Högerklicka på de markerade objekten och välj Exportera markerade sektioner till tjänsteskript. 4. De markerade objekten exporteras till en ny logg. 5. Följande steg är det viktigaste i hela proceduren: öppna den nya loggen och ändra - attributet till + för alla objekt som du vill ta bort. Kontrollera att inga viktiga filer/objekt i operativsystemet markeras. 6. Öppna ESET SysInspector, klicka på Arkiv > Kör tjänsteskript och ange sökvägen till skriptet. 7. Klicka på OK för att köra skriptet Generera tjänsteskript Generera ett skript genom att högerklicka på ett objekt i menyträdet (i det vänstra fönstret) i ESET SysInspector huvudfönster. Välj antingen Exportera alla sektioner till tjänsteskript eller Exportera markerade sektioner till tjänsteskript. OBS! Det går inte att exportera tjänsteskriptet när två loggar jämförs Tjänsteskriptets struktur Den första raden i skriptets rubrik innehåller information om motorversion (ev), GUI-version (gv) och loggversion (lv). Använd dessa uppgifter för att spåra eventuella ändringar i.xml-filen som genererar skriptet och förhindra motsägelser under körning. Denna del av skriptet bör inte ändras. Resten av filen delas in i sektioner i vilka det går att redigera objekt (ange dem som bearbetas av skriptet). Markera objekt till bearbetning genom att byta tecknet - framför objektet med tecknet +. Sektionerna i skriptet avskiljs från varandra med en tom rad. Varje sektion har ett nummer och en rubrik. 01) Processer som körs Denna sektion innehåller en lista med alla processer som körs på systemet. Varje process identifieras av sin UNCsökväg och därefter sin CRC16-hashkod mellan asterisker (*). Exempel: 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...] I detta exempel valdes processen module32.exe (markerad med ett plustecken), processen avslutas när skriptet körs. 114

115 02) Inlästa moduler Denna sektion visar systemmoduler som används. Exempel: 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...] I detta exempel markerades modulen khbekhb.dll med ett +. När skriptet körs känner det igen processerna som använder den modulen och avslutar dem. 03) TCP-anslutningar Denna sektion innehåller information om befintliga TCP-anslutningar. Exempel: 03) TCP connections: - Active connection: : > :55320, owner: ekrn.exe - Active connection: : > :50006, - Active connection: : > :30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...] När skriptet körs söker det efter ägaren till en socket i de markerade TCP-anslutningarna och stoppar denna socket och frigör systemresurser. 04) UDP-slutpunkter Denna sektion innehåller information om befintliga UDP-slutpunkter. Exempel: 04) UDP endpoints: , port 123 (ntp) , port , port 4500 (ipsec-msft) , port 500 (isakmp) [...] När skriptet körs söker det efter ägaren till en socket i de markerade TCP-anslutningarna och stoppar denna socket. 05) DNS-serverposter Denna sektion innehåller information om den aktuella DNS-serverkonfigurationen. Exempel: 05) DNS server entries: [...] Markerade DNS-serverposter tas bort när skriptet körs. 06) Viktiga registerposter Denna sektion innehåller information om viktiga registerposter. 115

116 Exempel: 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = [...] De markerade posterna tas bort, reducerade till 0-bytevärden eller återställda till sina standardvärden när skriptet körs. Åtgärden som vidtas för en viss post beror på postens kategori och nyckelns värde i det specifika registret. 07) Tjänster Denna sektion visar tjänster som registrerats i systemet. Exempel: 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...] De markerade tjänsterna och deras beroende tjänster stoppas och avinstalleras när skriptet körs. 08) Drivrutiner Denna sektion visar installerade drivrutiner. Exempel: 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c: \windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual [...] När skriptet körs, stoppas de valda drivrutinerna. Observera att en del drivrutiner inte tillåter att de stoppas. 09) Kritiska filer Detta avsnitt innehåller information om filer som är kritiska för operativsystemets funktion. Exempel: 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts localhost - ::1 localhost [...] De valda objekten antingen tas bort eller återställs till sina ursprungliga värden. 116

117 Köra tjänsteskript Markera alla önskade objekt, spara och stäng sedan skriptet. Kör det redigerade skriptet direkt i ESET SysInspector huvudfönster genom att välja alternativet Kör tjänsteskript från Arkiv-menyn. När du öppnar ett skript, visar programmet följande meddelande: Vill du köra tjänsteskriptet %Skriptnamn%? När valet bekräftats, visas kanske en annan varning som talar om att tjänsteskriptet du försöker köra inte har signerats. Klicka på Kör för att starta skriptet. Ett dialogfönster bekräftar att skriptet kördes. Om det endast gick att delvis bearbeta skriptet, visas ett dialogfönster med följande meddelande: Tjänsteskriptet har delvis körts. Vill du visa felrapporten? Välj Ja för att visa en utförlig felrapport med åtgärderna som inte utfördes. Om skriptet inte kändes igen, visas ett dialogfönster med följande meddelande: Det markerade tjänsteskriptet är inte signerat. Om du kör osignerade och okända skript kan datorns information skadas avsevärt. Vill du köra skriptet och utföra åtgärderna? Detta kan orsakas av motsägelser i skriptet (skadad rubrik, skadad sektionsrubrik, saknad tom rad mellan sektioner osv.). Det går att antingen öppna skriptfilen på nytt och rätta till felen eller skapa ett nytt tjänsteskript FAQ Behövs det administratörsbehörighet för att köra ESET SysInspector? Även om det inte behövs administratörsbehörighet för att köra ESET SysInspector kan vissa av uppgifterna som programmet samlar in bara hämtas med ett administratörskonto. Om programmet körs av en standardanvändare eller en begränsad användare samlas färre uppgifter om operativsystemet in. Skapar ESET SysInspector en loggfil? ESET SysInspector kan skapa en loggfil med datorns konfiguration. Välj Arkiv > Spara logg i programmets huvudfönster om du vill spara en loggfil. Loggfilerna sparas i XML-format. Filerna sparas som standard i katalogen % ANVÄNDARPROFIL%\Mina dokument\ med formatet SysInspector-%DATORNAMN%-ÅÅMMDD-TTMM.XML. Du kan ändra platsen och namnet innan du sparar loggfilen om du föredrar det. Hur kan jag visa ESET SysInspector-loggfilen? Visa en loggfil som har skapats av ESET SysInspector genom att köra programmet och klicka på Arkiv > Öppna logg i programmets huvudfönster. Du kan även dra och släppa loggfiler på ESET SysInspector-programmet. Om du ofta behöver visa loggfiler i ESET SysInspector rekommenderar vi att du skapar en genväg till filen SYSINSPECTOR.EXE på ditt skrivbord. Det går sedan dra och släppa loggfiler på genvägsikonen för att visa dem. Av säkerhetsskäl kanske Windows Vista/7 inte tillåter att dra och släppa mellan fönster som har olika behörigheter. Finns det någon specifikation tillgänglig för loggfilsformatet? Finns det ett SDK? I det nuvarande läget finns det varken en specifikation för loggfilen eller ett SDK eftersom programmet fortfarande är under utveckling. När programmet har släppts kan vi eventuellt tillhandahålla dessa beroende på feedback och efterfrågan från kunder. Hur utvärderar ESET SysInspector den risk som ett visst objekt utgör? I de flesta fall tilldelar ESET SysInspector risknivåer till objekt (filer, processer, registernycklar osv.) med hjälp av åtskilliga heuristiska regler så att egenskaperna i varje objekt kan granskas och risken för skadlig aktivitet kan utvärderas. Baserat på heuristiken kan objekt tilldelas en risknivå från 1 - Okej (grönt) till 9 - Riskfyllt (rött). I det vänstra navigeringsfönstret färgläggs sektionerna enligt den högsta risknivån som ett objekt i dem har tilldelats. Betyder risknivån 6: Okänt (rött) att ett objekt är farligt? Utvärderingarna som görs av ESET SysInspector betyder inte nödvändigtvis att ett objekt är skadligt. Den bedömningen bör göras av en säkerhetsexpert. ESET SysInspector har utformats för att tillhandahålla en snabb utvärdering för säkerhetsexperter så att de vet vilka objekt i ett system som de ska undersöka i mer detalj. 117

118 Varför ansluter ESET SysInspector till Internet när programmet körs? Liksom många andra program signeras ESET SysInspector med ett digitalt signaturcertifikat för att underlätta kontrollen om programvaran har utgetts av ESET och att det inte har ändrats. Operativsystemet kontaktar en certifikatutfärdare för att kontrollera certifikatets giltighet och programvaruutgivarens identitet. Det här är en normal funktion för alla program på Microsoft Windows som är digitalt signerade. Vad är Anti-Stealth-teknik? Anti-Stealth-tekniken innebär att rootkit identifieras på ett effektivt sätt. Om systemet angrips av skadlig kod som fungerar som ett rootkit utsätts användaren för dataförlust eller -stöld. Om inte ett speciellt verktyg mot rootkit används är det nästan omöjligt att identifiera rootkit. Varför finns det ibland filer markerade Signerad av MS som samtidigt har en annan post i Företagsnamn? När den körbara filens digital signatur identifieras, söker ESET SysInspector först efter en digital signatur som är inbäddad i filen. Om en digital signatur hittas, valideras filen med denna information. Om en digital signatur inte hittas, söker ESI efter motsvarande CAT-fil (säkerhetskatalog %systemroot%\system32\catroot) som innehåller information om den körbara filen som bearbetas. Om den relevanta CAT-filen hittas, tillämpas den digitala signaturen för denna CAT i valideringen av den körbara filen. Detta är orsaken till att filer ibland markeras som Signerad av MS men har en annan post i Företagsnamn ESET SysInspector som en del av ESET Endpoint Antivirus Öppna avsnittet ESET SysInspector i ESET Endpoint Antivirus genom att klicka på Verktyg > ESET SysInspector. Hanteringssystemet i ESET SysInspector-fönstret liknar loggar för genomsökning av datorn eller schemalagda aktiviteter. Alla åtgärder för systemavbildningar - skapa, visa, jämföra, ta bort och exportera - finns tillgängliga med en eller två musklickningar. ESET SysInspector-fönstret innehåller grundläggande information om de avbildningar som har skapats, som t.ex. tiden då avbildningen skapades, kort kommentar, namnet på användaren som skapade avbildningen samt avbildningsstatus. Jämför, skapa eller ta bort avbildningar genom att använda motsvarande knappar under listan över avbildningar i ESET SysInspector-fönstret. Dessa alternativ finns även tillgängliga i kontextmenyn. Välj Visa i kontextmenyn för att visa den markerade systemavbildningen. Exportera den markerade avbildningen till en fil genom att högerklicka på den och välja Exportera... Nedan finns en detaljerad beskrivning av tillgängliga alternativ: Jämför - jämför två befintliga loggar. Åtgärden är användbar om du vill spåra ändringar mellan nuvarande logg och en äldre logg. Välj två avbildningar att jämföras för att använda det här alternativet. Skapa... - skapar en ny post. Innan du skapar en ny post måste du ange en kort kommentar om den. Se förloppet när avbildningen skapas (av aktuell avbildning) i kolumnen Status. Alla avbildningar som har slutförts markeras med statusvärdet Skapad. Ta bort/ta bort alla - tar bort poster från listan. Exportera... - sparar den markerade posten i en XML-fil (även i komprimerad version). 118

119 Fjärrövervakning och fjärrhantering Remote Monitoring and Management (RMM) is the process of supervising and controlling software systems using a locally installed agent that can be accessed by a management service provider. The default ESET Endpoint Antivirus installation contains the file ermm.exe located in the Endpoint application within the directory c:\program Files\ESET\ESET Security. ermm.exe is a command line utility designed to facilitate the management of endpoint products and communications with any RMM Plugin. ermm.exe exchanges data with the RMM Plugin, which communicates with the RMM Agent linked to an RMM Server. By default, the ESET RMM tool is disabled. For more information, see Aktivera fjärrövervakning och fjärrhantering. The default ESET Endpoint Antivirus installation contains file ermm.exe located in the Endpoint application directory (default path c:\program Files\ESET\ESET Security ). ermm.exe exchanges data with the RMM Plugin, which communicates with the RMM Agent that is linked to an RMM Server. ermm.exe command line utility developed by ESET that allows managing of Endpoint products and communication with any RMM Plugin. 119

120 RMM-kommandorad Remote monitoring management is run using the command line interface. The default ESET Endpoint Antivirus installation contains the file ermm.exe located in the Endpoint application within the directory c:\program Files\ESET\ESET Security. Run the Command Prompt (cmd.exe) as an Administrator and navigate to the mentioned path. (To open Command Prompt, press Windows button + R on your keyboard, type a cmd.exe into the Run window and press Enter.) The command syntax is: ermm context command [options] Also note that the log parameters are case sensitive. ermm.exe uses three basic contexts: Get, Start and Set. In the table below you can find examples of commands syntax. Click the link in the Command column to see the further options, parameters, and usage examples. After successful execution of command, the output part (result) will be displayed. To see an input part, add parameter -debug at the of the command. Context get 120 Command Description Get information about products

121 Context Command Description appinfo Get information about product licensinfo Get information about license skyddsstatus Get protection status loggar Get logs genomsökningsinfo Get information about running scan konfiguration Get product configuration uppdateringsstatus Get information about update aktiveringsstatus Get information about last activation start Start task genomsökning Start on demand scan aktivering Start activation of product inaktivering Start deactivation of product uppdatering Start update of product set Set options for product konfiguration Set configuration to product In the output result of every command, the first information displayed is result ID. To understand better the result information, check the table of IDs below. Error ID Error Description 0 Success 1 Command node not present "Command" node not present in input json 2 Command not supported Particular command is not supported 3 General error executing the command Error during execution of command 4 Task already running Requested task is already running and has not been started 5 Invalid parameter for command Bad user input 6 Command not executed because it's RMM isn't enabled in advanced disabled settings or isn't started as an administrator 121

122 Lista med JSON-kommandon få skyddsstatus få appinfo få licensinfo få loggar få aktiveringsstatus få genomsökningsinfo få konfiguration få uppdateringsstatus starta genomsökning starta aktivering starta inaktivering starta uppdatering ställa in konfiguration få skyddsstatus Get the list of application statuses and the global application status Command line ermm.exe get protection-status Parameters None Example call { "command":"get_protection_status", "id":1, "version":"1" } result { "id":1, "result":{ "statuses":[{ "id":"ekrnnotactivated", "status":2, "priority":768, "description":"product not activated" }], "status":2, 122

123 "description":"security alert" }, "error":null } få appinfo Get information about the installed application Command line ermm.exe get application-info Parameters None Example call { "command":"get_application_info", "id":1, "version":"1" } result { "id":1, "result":{ "description":"eset Endpoint Antivirus", "version":" ", "product":"eea", "lang_id":1033, "modules":[{ "id":"scanner32", "description":"detection engine", "version":"15117", "date":" " },{ "id":"pegasus32", "description":"rapid Response module", "version":"9734", "date":" " 123

124 },{ "id":"loader32", "description":"update module", "version":"1009", "date":" " },{ "id":"perseus32", "description":"antivirus and antispyware scanner module", "version":"1513", "date":" " },{ "id":"advheur32", "description":"advanced heuristics module", "version":"1176", "date":" " },{ "id":"archiver32", "description":"archive support module", "version":"1261", "date":" " },{ "id":"cleaner32", "description":"cleaner module", "version":"1132", "date":" " },{ "id":"antistealth32", "description":"anti-stealth support module", "version":"1106", "date":" " },{ "id":"systemstatus32", "description":"eset SysInspector module", "version":"1266", "date":" " },{ "id":"translator32", "description":"translation support module", "version":"1588b", "date":" " },{ "id":"hips32", 124

125 "description":"hips support module", "version":"1267", "date":" " },{ "id":"protoscan32", "description":"internet protection module", "version":"1300", "date":" " },{ "id":"dblite32", "description":"database module", "version":"1088", "date":" " },{ "id":"confeng32", "description":"configuration module (33)", "version":"1496b", "date":" " },{ "id":"iris32", "description":"livegrid communication module", "version":"1022", "date":" " },{ "id":"sauron32", "description":"rootkit detection and cleaning module", "version":"1006", "date":" " },{ "id":"ssl32", "description":"cryptographic protocol support module", "version":"1009", "date":" " } }, "error":null } } 125

126 få licensinfo Get information about the license of the product Command line ermm.exe get license-info Parameters None Example call { "command":"get_license_info", "id":1, "version":"1" } result { "id":1, "result":{ "type":"nfr", "expiration_date":" ", "expiration_state":"ok", "public_id":"3xx-7ed-7xf", "seat_id":"6f ae95-4e04-8ac3-e6a20bc620bf", "seat_name":"m" }, "error":null } få loggar Get logs of the product Command line ermm.exe get logs --name warnlog --start-date " " --end-date " " Parameters Name 126 Value

127 name { all, virlog, warnlog, scanlog, blocked, hipslog, urllog, devctrllog } : log to retrieve start-date start date from which logs should be retrieved (YYYY-MMDD [HH-mm-SS]) end-date end time until which logs should be retrieved (YYYY-MMDD [HH-mm-SS]) Example call { "command":"get_logs", "id":1, "version":"1", "params":{ "name":"warnlog", "start_date":" ", "end_date":" " } } result { "id":1, "result":{ "warnlog":{ "display_name":"events", "logs":[{ "Time":" ", "Severity":"Info", "PluginId":"ESET Kernel", "Code":"Malware database was successfully updated to version ( ).", "UserData":"" },{ "Time":" ", "Severity":"Info", "PluginId":"ESET Kernel", "Code":"Malware database was successfully updated to version ( ).", "UserData":"" }] } }, 127

128 "error":null } få aktiveringsstatus Get information about the last activation. Result of status can be { success, error } Command line ermm.exe get activation-status Parameters None Example call { "command":"get_activation_status", "id":1, "version":"1" } result { "id":1, "result":{ "status":"success" }, "error":null } få genomsökningsinfo Get information about running scan. Command line ermm.exe get scan-info 128

129 Parameters None Example call { "command":"get_scan_info", "id":1, "version":"1" } result { "id":1, "result":{ "scan-info":{ "scans":[{ "scan_id":65536, "timestamp":272, "state":"finished", "pause_scheduled_allowed":false, "pause_time_remain":0, "start_time":" t12:20:33z", "elapsed_tickcount":328, "exit_code":0, "progress_filename":"operating memory", "progress_arch_filename":"", "total_object_count":268, "infected_object_count":0, "cleaned_object_count":0, "log_timestamp":268, "log_count":0, "log_path":"c:\\programdata\\eset\\eset Security\\Logs\\eScan\\ndl31494.dat", "username":"test-pc\\test", "process_id":3616, "thread_id":3992, "task_type":2 }], "pause_scheduled_active":false } }, 129

130 "error":null } få konfiguration Get the product configuration. Result of status may be { success, error } Command line ermm.exe get configuration --file C:\tmp\conf.xml --format xml Parameters Name Value file the path where the configuration file will be saved format format of configuration: json, xml. Default format is xml Example call { "command":"get_configuration", "id":1, "version":"1", "params":{ "format":"xml", "file":"c:\\tmp\\conf.xml" } } result { "id":1, "result":{ "configuration":"pd94bwwgdmvyc2lvbj0ims4w==" }, "error":null } 130

131 få uppdateringsstatus Get information about the update. Result of status may be { success, error } Command line ermm.exe get update-status Parameters None Example call { "command":"get_update_status", "id":1, "version":"1" } result { "id":1, "result":{ "last_update_time":" ", "last_update_result":"error", "last_successful_update_time":" " }, "error":null } 131

132 starta genomsökning Start scan with the product Command line ermm.exe start scan --profile "profile name" --target "path" Parameters Name Value profile Profile name of On-demand computer scan defined in product target Path to be scanned Example call { "command":"start_scan", "id":1, "version":"1", "params":{ "profile":"smart scan", "target":"c:\\" } } result { "id":1, "result":{ "task_id": }, "error":null } 132

133 starta aktivering Start activation of product Command line ermm.exe start activation --key "activation key" --offline "path to offline file" --token "activation to Parameters Name Value key Activation key offline Path to offline file token Activation token Example call { "command":"start_activation", "id":1, "version":"1", "params":{ "key":"xxxx-xxxx-xxxx-xxxx-xxxx" } } result { "id":1, "result":{ }, "error":null } 133

134 starta inaktivering Start deactivation of the product Command line ermm.exe start deactivation Parameters None Example call { "command":"start_deactivation", "id":1, "version":"1" } result { "id":1, "result":{ }, "error":null } starta uppdatering Start update of the product. Only one update may be running in the product so in case the update is already running, "Task already running" error code is returned Command line ermm.exe start update Parameters None Example call { "command":"start_update", "id":1, 134

135 "version":"1" } result { "id":1, "result":{ }, "error":{ "id":4, "text":"task already running." } } ställa in konfiguration Set configuration to the product. Result of status may be { success, error } Command line ermm.exe set configuration --file C:\tmp\conf.xml --format xml --password pass Parameters Name Value file the path where the configuration file will be saved password password for configuration value configuration data from the argument (encoded in base64) Example call { "command":"set_configuration", "id":1, "version":"1", "params":{ "format":"xml", "file":"c:\\tmp\\conf.xml", "password": "pass" } } 135

136 result { "id":1, "result":{ }, "error":null } 3.11 Ordlista Hottyper En infiltrering är ett skadligt program som försöker få tillgång till och/eller skada en användares dator Virus Ett datorvirus är ett stycke skadlig kod som läggs till befintliga filer på din dator. Virus har fått sitt namn efter biologiska virus, eftersom de sprider sig mellan olika datorer på ungefär samma sätt. Termen virus används ofta felaktigt som namn på alla typer av hot. Denna användning försvinner gradvis och byts ut mot den mer korrekta termen skadlig kod (skadlig programvara). Datorvirus angriper huvudsakligen körbara filer och dokument. I korthet fungerar ett datorvirus så här: efter körning av en infekterad fil, anropas den skadliga koden och körs innan det ursprungliga programmet körs. Ett virus kan infektera alla filer som den aktuella användaren har skrivbehörighet till. Hur aktiva och allvarliga datorvirus är varierar. Vissa av dem är extremt farliga eftersom de avsiktligt kan ta bort filer från en hårddisk. Å andra sidan finns det virus som inte orsakar någon verklig skada. De är endast avsedda att irritera användaren och demonstrera författarnas tekniska kunskaper. Om datorn infekterats med ett virus och det inte går att rensa, skicka inte det till ESET:s laboratorium för undersökning. I en del fall ändras infekterade filer i en sådan grad att rensning inte är möjlig och filerna måste bytas ut mot rena kopior Maskar En datormask är ett program som innehåller skadlig kod och som attackerar värddatorer och sprider sig via nätverk. Den huvudsakliga skillnaden mellan ett virus och en mask är att maskar själva kan sprida sig - de är inte beroende av värdfiler (eller startsektorer). Maskar sprids till e-postadresser i din kontaktlista eller utnyttjar sårbarheter i säkerheten hos nätverksprogram. Maskar är därför mer livskraftiga än datorvirus. På grund av Internets tillgänglighet kan de inom några timmar eller till och med minuter från att de släpps spridas över hela världen. Denna förmåga att snabbt sprida sig själva gör maskar farligare än andra typer av skadlig programvara. En mask som har aktiverats på en dator kan orsaka ett antal olika problem: Den kan ta bort filer, försämra datorns prestanda eller till och med inaktivera vissa program. Sättet på vilket maskar fungerar gör det möjligt för dem att fungera som transportmedel för andra typer av infiltreringar. Om datorn infekteras av en mask rekommenderar vi att ta bort de infekterade filerna, eftersom de troligen innehåller skadlig kod. 136

137 Trojaner Från början definierades trojaner (trojanska hästar) i datorsammanhang som en klass av hot som utger sig för att vara användbara program och på så sätt lurar användare att köra dem. Eftersom trojaner är en mycket omfattande kategori delas den ofta in i flera underkategorier: Hämtare skadliga program som hämtar andra infiltreringar från Internet. Spridare skadliga program som kan lägga in andra typer av skadlig kod på smittade datorer. Bakdörr skadliga program som kommunicerar med fjärrangripare och låter dem få tillgång till datorn och ta kontroll över den. Keylogger-program (registrerar tangenttryckningar) ett program som registrerar varje tangent som användaren trycker på och skickar denna information till fjärrangripare. Uppringningsprogram skadliga program som får datorn att ringa upp dyra betalnummer. Det är nästan omöjligt för en användare att upptäcka att en ny anslutning skapades. Uppringningsprogram kan endast orsaka skada tillsammans med modem för uppringda anslutningar, vilket nästan inte används längre. Om en fil på datorn har identifierats som en trojan, rekommenderar vi att du tar bort den, eftersom den troligen innehåller skadlig kod Rootkit Rootkit är skadliga program som ger Internetangripare obegränsad tillgång till ett system, samtidigt som deras närvaro förblir dold. När ett rootkit har använts för att komma åt en dator (oftast genom att utnyttja en sårbarhet i systemet) används funktioner i operativsystemet som gör att antivirusprogram inte upptäcker detta. Processer, filer och data i Windowsregistret döljs. På grund av detta är det nästan omöjligt att upptäcka angreppet med vanliga testtekniker. Det finns två detekteringsnivåer för att förhindra rootkits: 1. Vid försök till åtkomst till ett system: Rootkiten finns fortfarande inte i datorn och är därför inaktiva. De flesta antivirussystem kan eliminera rootkit på den här nivån (förutsatt att de verkligen detekterar att sådana filer infekteras). 2. När de är dolda från vanlig genomsökning: ESET Endpoint Antivirus-användare har fördelen av Anti-Stealthtekniken som även kan identifiera och eliminera aktiva rootkit Reklamprogram Reklamprogram (även kallat adware) är reklamfinansierade program. Program som visar annonsmaterial hamnar under den här kategorin. Reklamprogram öppnar ofta ett nytt fönster med annonser i en webbläsare eller ändrar webbläsarens startsida. Reklamprogram levereras ofta tillsammans med gratisprogram, vilket gör att utvecklarna kan täcka utvecklingskostnaderna för sina (ofta användbara) program. Reklamprogram är inte farliga i sig själva användarna störs bara av annonser. Faran ligger i att reklamprogrammen även kan ha funktioner för spårning (som spionprogram). Om du använder en gratisprodukt bör du vara uppmärksam under installationen. Installationsprogrammet meddelar dig troligen om ett extra reklamprogram installeras. Ofta har du möjlighet att avbryta det och installera programmet utan reklamprogram. En del program går dock inte att installera utan reklamprogram eller så är funktionaliteten begränsad. Det innebär att reklamprogram ofta kommer åt systemet på ett lagligt sätt, eftersom användaren har tillåtit det. I detta fall är det bättre att ta det säkra före det osäkra. Om en fil på datorn har identifierats som reklamprogram rekommenderar vi att du tar bort den, eftersom sannolikheten är hög att den innehåller skadlig kod. 137

138 Spionprogram Den här kategorin innehåller alla program som skickar privat information utan att användaren är medveten om det eller har gett sin tillåtelse. Spionprogram använder funktioner för spårning till att skicka olika typer av statistiska data, till exempel en lista med besökta webbplatser, e-postadresser från användarens kontaktlista eller en lista med registrerade tangenttryckningar. Författarna till spionprogram hävdar att dessa tekniker har som mål att ta reda på mer om användarnas behov och intressen för att på så sätt möjliggöra bättre riktade annonser. Problemet är att det inte finns någon tydlig gräns mellan användbara och skadliga program och att det inte går att vara säker på att informationen inte kommer att missbrukas. Data som hämtas med hjälp av spionprogram kan innehålla lösenord, PIN-koder, bankkontonummer och så vidare. Skapare av program skickar ofta med spionprogram tillsammans med en gratisversion av programmet för att tjäna pengar eller för att göra det önskvärt att betala för programmet. Ofta informeras användarna om förekomsten av spionprogram under installationen så att de får en anledning att uppgradera till en betald version utan spionprogrammet. Exempel på välkända gratisprodukter som levereras tillsammans med spionprogram är klientprogram för P2Pnätverk (serverlösa nätverk). Spyfalcon och Spy Sheriff (och många andra) tillhör en specifik underkategori av spionprogram de utger sig för att vara antispionprogram men är själva spionprogram. Om en fil identifieras som spionprogram på datorn rekommenderar vi att ta bort den, eftersom sannolikheten är hög att den innehåller skadlig kod Komprimeringsprogram Komprimeringsprogram är en självuppackande körbar fil som öppnar flera sorter skadlig kod i ett enda paket. De vanligaste komprimeringsprogrammen är UPX, PE_Compact, PKLite och ASPack. Samma skadliga kod upptäcks på lika sätt när den komprimeras med ett annat komprimeringsprogram. Komprimeringsprogram har även förmågan att förändra sina "signaturer" över tid, vilket gör det svårare att identifiera och ta bort skadlig kod Potentiellt farliga program Det finns många legitima program som förenklar administration av datorer i ett nätverk. I fel händer kan de dock användas i skadliga syften. ESET Endpoint Antivirus tillhandahåller alternativet att identifiera sådana hot. Klassificeringen Potentiellt farliga program används för kommersiell, laglig programvara. Den innefattar program som t.ex. verktyg för fjärråtkomst, program som spårar lösenord och keylogger-program (program som registrerar varje tangent användaren trycker ned). Om du upptäcker att ett potentiellt farligt program körs på datorn (och du inte har installerat det) bör du kontakta nätverksadministratören eller ta bort programmet Potentiellt oönskade program Ett potentiellt oönskat program är ett program som innehåller reklamprogram, installerar verktygsfält eller har andra oklara mål. Det finns vissa situationer där en användare kan anse att fördelarna med ett potentiellt oönskat program väger tyngre än riskerna. Därför tilldelar ESET sådana program en lägre riskkategori jämfört med andra typer av skadliga program, som trojaner eller maskar. Varning potentiellt hot hittades När ett potentiellt oönskat program upptäcks får du välja vilken åtgärd som ska vidtas: 1. Rensa/Koppla från: Med det här alternativet avslutas åtgärden och det potentiella hotet hindras från att ta sig in i systemet. 2. Ingen åtgärd: Detta alternativ tillåter att ett potentiellt hot kommer in i ditt system. 3. Om du vill tillåta att programmet körs obehindrat på datorn i fortsättningen klickar du på Mer info/visa avancerade alternativ och markerar sedan kryssrutan intill Undanta från detektering. 138

139 När ett potentiellt oönskat program upptäcks och inte kan rensas visas meddelandefönstret Adressen har blockerats i skärmens nedre högra hörn. För mer information om den här händelsen går du till Verktyg > Loggfiler > Filtrerade webbplatser från huvudmenyn. Potentiellt oönskade program inställningar När ESET-produkten installeras kan du välja om du vill aktivera detektering av potentiellt oönskade program enligt nedan: VARNING! Potentiellt oönskade program kan installera reklamprogram, verktygsfält eller andra oönskade och osäkra programfunktioner. 139