Integrerade komponenter: ESET NOD32 Antivirus ESET NOD32 Antispyware ESET personliga brandvägg ESET Antispam Den nya generationens NOD32-teknik Användarguide vi skyddar dina digitala världar
innehåll 1. ESET Smart Security...4 1.1 Nyheter... 4 1.2 Systemkrav... 4 2. Installation...5 2.1 Typisk installation... 5 2.2 Anpassad installation... 6 2.3 Använda ursprungsinställningarna... 8 2.4 Ange användarnamn och lösenord... 8 2.5 Genomsökning av datorn... 8 3. Nybörjarguide...9 3.1 Användargränssnittets utformning och lägen... 9 3.1.1 Kontrollera systemdriften...9 3.1.2 Vad ska man göra om programmet inte fungerar som det ska?... 10 3.2 Inställning av uppdateringar...10 3.3 Inställning av tillförlitliga platser...10 3.4 Inställning av proxyserver...11 3.5 Inställningsskydd...11 Copyright 2008 av ESET, spol. s r. o. ESET Smart Security har utvecklats av ESET, spol. s r.o. Gå till www.eset.com om du vill ha mer information. Alla rättigheter förbehålls. Ingen del av den här dokumentationen får reproduceras, sparas i registreringssystem eller överföras i någon form eller på något sätt, elektroniskt, mekaniskt, genom kopiering, inspelning, skanning eller på något annat sätt utan skriftlig tillåtelse från författaren. ESET, spol. s r.o. förbehåller sig rätten att ändra något av de beskrivna programmen utan föregående meddelande. Global kundsupport: www.eset.eu/support Kundsupport Nordamerika: www.eset.com/support REV.20081204-002 4. Arbeta med ESET Smart Security...12 4.1 Skydd mot virus och spionprogram... 12 4.1.1 Skydd av filsystemet i realtid...12 4.1.1.1 Inställning av kontrollen...12 4.1.1.1.1 Media som ska genomsökas...12 4.1.1.1.2 Genomsök vid (händelseutlöst genomsökning)...12 4.1.1.1.3 Ytterligare ThreatSense-parametrar för filer som nyligen har skapats...12 4.1.1.1.4 Avancerade inställningar...12 4.1.1.2 Rensningsnivåer...12 4.1.1.3 Ändring av konfigurationen för realtidsskydd...13 4.1.1.4 Kontroll av realtidsskyddet...13 4.1.1.5 Vad ska man göra om realtidsskyddet inte fungerar?...13 4.1.2 Skydd av e-post...13 4.1.2.1 POP3-kontroll...13 4.1.2.1.1 Kompatibilitet...13 4.1.2.2 Integrering med Microsoft Outlook, Outlook Express och Windows Mail...14 4.1.2.2.1 Lägga till meddelanden till ett e-postmeddelande...14 4.1.2.3 Ta bort infiltreringar...14 4.1.3 Webbåtkomstskydd...14 4.1.3.1 HTTP...14 4.1.3.1.1 Blockerade/undantagna adresser...15 4.1.3.1.2 Webbläsare...15 4.1.4 Genomsökning av datorn...15 4.1.4.1 Typ av genomsökning...16 4.1.4.1.1 Standardgenomsökning...16 4.1.4.1.2 Anpassad genomsökning...16 4.1.4.2 Genomsökningsobjekt...16 4.1.4.3 Genomsökningsprofiler...16 4.1.5 Parameterinställningar för ThreatSense-motorn... 17 4.1.5.1 Inställning av objekt... 17 4.1.5.2 Alternativ... 17 4.1.5.3 Rensning...18 4.1.5.4 Tillägg...18 4.1.6 En infiltrering identifieras...18 4.2 Personlig brandvägg... 19 4.2.1 Filtreringslägen...19 4.2.2 Blockera all trafik: koppla från nätverket...19 4.2.3 Inaktivera filtrering: tillåt all trafik...19 4.2.4 Konfigurera och använda regler...19 4.2.4.1 Skapa nya regler...20 4.2.4.2 Redigera regler...20 4.2.5 Konfigurera zoner...20 4.2.6 Etablera en anslutning identifiering... 21 4.2.7 Loggning... 21
4.3 Skydd mot spam... 21 4.3.1 Självinlärning av spamskydd... 22 4.3.1.1 Lägga till adresser i vitlistan... 22 4.3.1.2 Markera meddelanden som spam... 22 4.4 Uppdatera programmet...22 4.4.1 Inställning av uppdateringar... 22 4.4.1.1 Uppdateringsprofiler... 23 4.4.1.2 Avancerade uppdateringsinställningar... 23 4.4.1.2.1 Uppdateringsläge... 23 4.4.1.2.2 Proxyserver... 24 4.4.1.2.3 Ansluta till LAN... 24 4.4.1.2.4 Skapa uppdateringskopior spegling... 24 4.4.1.2.4.1 Uppdatera från speglingen... 25 4.4.1.2.4.2 Felsöka problem med uppdatering via spegling... 26 4.4.2 Skapa uppdateringsaktiviteter... 26 4.5 Schemaläggaren... 26 4.5.1 Syftet med att schemalägga aktiviteter... 26 4.5.2 Skapa nya aktiviteter... 27 4.6 Karantän... 27 4.6.1 Sätta filer i karantän... 27 4.6.2 Återställa från karantän... 27 4.6.3 Skicka en fil från karantänen... 28 4.7 Loggfiler... 28 4.7.1 Underhåll av loggning... 28 4.8 Användargränssnitt... 28 4.8.1 Varningar och meddelanden... 29 4.9 ThreatSense.Net... 30 4.9.1 Misstänkta filer...30 4.9.2 Statistik...30 4.9.3 Sändning...31 4.10 Fjärradministration... 31 4.11 Licens...32 5. Avancerade användare... 33 5.1 Inställning av proxyserver...33 5.2 Exportera/importera inställningar...33 5.2.1 Exportera inställningar... 33 5.2.2 Importera inställningar... 33 5.3 Kommandorad...33 6. Ordlista... 35 6.1 Typer av infiltreringar...35 6.1.1 Virus... 35 6.1.2 Maskar... 35 6.1.3 Trojanska hästar... 35 6.1.4 Rootkit... 35 6.1.5 Reklamprogram... 35 6.1.6 Spionprogram... 36 6.1.7 Potentiellt farliga program... 36 6.1.8 Potentiellt oönskade program... 36 6.2 Typer av fjärrangrepp...36 6.2.1 DoS-attacker... 36 6.2.2 DNS-förgiftning... 36 6.2.3 Maskattacker... 36 6.2.4 Portgenomsökning... 36 6.2.5 TCP-desynkronisering... 37 6.2.6 SMB-relä... 37 6.2.7 ICMP-attacker... 37 6.3 E-post... 37 6.3.1 Annonser... 37 6.3.2 Bluffar... 37 6.3.3 Nätfiske... 38 6.3.4 Känna igen spambedrägerier... 38 6.3.4.1 Regler... 38 6.3.4.2 Bayes-filter... 38 6.3.4.3 Vitlista... 38 6.3.4.4 Svartlista... 38 6.3.4.5 Kontroll på serversidan... 38
1. ESET Smart Security ESET Smart Security är den första representanten för den nya metoden med helt integrerad datorsäkerhet. I programmet används samma hastighet och precision som i ESET NOD32 Antivirus, tack vare den senaste versionen av genomsökningsmotorn ThreatSense, kombinerat med den skräddarsydda personliga brandväggen samt antispammoduler. Resultatet är ett intelligent system som ständigt håller vakt mot angrepp och skadlig programvara som äventyrar datorns säkerhet. Till skillnad från program från andra tillverkare är inte ESET Smart Security ett gytter av olika produkter i ett paket. Det är i stället resultatet av ett långsiktigt arbete att kombinera maximalt skydd med minimal belastning av systemet. Med hjälp av avancerade tekniker som baseras på artificiell intelligens kan hoten från virus, spionprogram, trojanska hästar, maskar, reklamprogram, rootkit och andra Internetbaserade angrepp elimineras på ett proaktivt sätt utan att datorns prestanda försämras eller dess användning störs. 1.1 Nyheter Ett tecken på våra experters långsiktiga utveckling av programmet är att ESET Smart Security har en helt ny arkitektur, vilket garanterar en maximal identifieringsnivå med minimala systemkrav. Den komplexa säkerhetslösningen innehåller moduler med flera avancerade alternativ. Följande lista ger en snabb översikt över dessa moduler: 4 Antivirusskydd och antispionprogram Den här modulen bygger på genomsökningskärnan ThreatSense, som första gången användes i det prisbelönta antivirussystemet NOD 32. ThreatSense -kärnan har optimerats och förbättrats med den nya arkitekturen för ESET Smart Security. Funktion Förbättrad rensning Genomsökning i bakgrunden Mindre uppdateringsfiler Skydd för populära e-postklienter Diverse andra mindre förbättringar Personlig brandvägg Beskrivning Antivirussystemet kan nu rensa och ta bort de flesta upptäckta infiltreringar utan att användaren behöver ingripa. Genomsökningen av datorn kan startas i bakgrunden utan att prestandan sänks. Kärnoptimeringsprocesser håller ned storleken på uppdateringsfilerna jämfört med i version 2.7. Skyddet mot skador på uppdateringsfilerna har också förbättrats. Det är nu möjligt att inte bara genomsöka inkommande e-post i MS Outlook, utan även i Outlook Express och Windows Mail. Direktåtkomst till filsystem för högre hastighet och kapacitet. Blockering av åtkomst till infekterade filer. Optimering för säkerhetscentret i Windows, inklusive Vista. Med den personliga brandväggen går det att övervaka all trafik mellan en skyddad dator och andra datorer i nätverket. ESET personliga brandvägg innehåller avancerade funktioner som visas nedan. Funktion Genomsökning av nätverkskommunikation på låg nivå Stöd för IPv6 Övervakning av körbara filer Beskrivning Med hjälp av genomsökning av nätverkskommunikation på datalänknivå kan ESET personliga brandvägg skydda mot en mängd angrepp som annars skulle vara omöjliga att upptäcka. ESET personliga brandvägg visar IPv6- adresser och användare kan skapa regler för dem. Övervakar förändringar i körbara filer vilket skyddar mot infektioner. Det går att tillåta filändringar i signerade program. Filgenomsökning som är integrerad med HTTP och POP3 System för intrångsdetektering Stöd för interaktivt, automatiskt eller principbaserat läge Ersätter den integrerade Windows-brandväggen Antispam Filgenomsökningen är integrerad med programprotokollen HTTP och POP3. Användarna skyddas när de surfar på Internet eller hämtar e-post. Möjlighet att identifiera karaktäristisk nätverkskommunikation och olika typer av nätverksangrepp, samt ett alternativ för att automatiskt förbjuda sådan kommunikation. Användare kan ange om brandväggens åtgärder ska köras automatiskt eller om reglerna ska anges interaktivt. Kommunikation i det principbaserade läget hanteras enligt de regler som har fördefinierats av användaren eller av nätverksadministratören. Programmet ersätter den integrerade Windows-brandväggen, och interagerar även med Windows Säkerhetscenter så att användaren alltid är informerad om datorns säkerhetsstatus. Som standard stängs Windows-brandväggen av när ESET Smart Security installeras. ESET Antispam filtrerar oönskade e-postmeddelanden och gör på så sätt elektronisk kommunikation säkrare och bekvämare. Funktion Poängräkning för inkommande e-post Stöd för en mängd olika genomsökningstekniker Fullständig integrering med e-postklienter Det går att ange spam manuellt 1.2 Systemkrav Beskrivning All inkommande e-post får en poängbedömning från 0 (ett meddelande är inte spam) till 100 (ett meddelande är spam) och överförs enligt detta till mappen för skräppost eller till en anpassad mapp som har skapats av användaren. Det går att genomsöka inkommande e-post parallellt. Bayes-analys Regelbaserad genomsökning Global kontroll av fingeravtrycksdatabas Spamskydd är tillgängligt för användare av e-postklienterna Microsoft Outlook, Outlook Express och Windows Mail. Det finns ett alternativ där användaren manuellt kan markera eller avmarkera e-postmeddelanden som spam. Om ESET Smart Security och ESET Smart Security Business Edition ska fungera problemfritt bör systemet uppfylla följande krav på maskinvara och programvara: ESET Smart Security: Windows 2000, XP Windows Vista ESET Smart Security Business Edition: Windows 2000, 2000 Server, XP, 2003 Server Windows Vista, Windows Server 2008 400 MHz 32-bitars/64-bitars (x86/x64) 128 MB RAM-minne 35 MB tillgängligt diskutrymme Super VGA (800 600) 1 GHz 32-bitars/64-bitars (x86/x64) 512 MB RAM-minne 35 MB tillgängligt diskutrymme Super VGA (800 600) 400 MHz 32-bitars/64-bitars (x86/x64) 128 MB RAM-minne 35 MB tillgängligt diskutrymme Super VGA (800 600) 1 GHz 32-bitars/64-bitars (x86/x64) 512 MB RAM-minne 35 MB tillgängligt diskutrymme Super VGA (800 600)
2. Installation Efter köpet kan installationsprogrammet för ESET Smart Security hämtas från ESET:s webbplats. Det levereras som ett paket i formatet ess_nt**_***.msi (ESET Smart Security) eller essbe_nt**_***.msi (ESET Smart Security Business Edition). När du har startat installationsprogrammet tar installationsguiden dig genom den grundläggande installationen. Det finns två installationstyper med olika detaljerade nivåer på inställningarna: 1. Typisk installation 2. Anpassad installation Nästa steg i installationen är konfiguration av ThreatSense.Net Early Warning System. ThreatSense.Net Early Warning System hjälper till att säkerställa att ESET alltid har den senaste informationen om nya infiltreringar, vilket möjliggör ett snabbt skydd för kundernas datorer. Med det här systemet kan nyupptäckta hot skickas till ESET: s viruslaboratorium, där de analyseras, bearbetas och läggs till i virussignaturdatabaserna. 2.1 Typisk installation En typisk installation rekommenderas för de användare som vill installera ESET Smart Security med standardinställningarna. Programmets standardinställningar ger ett maximalt skydd, vilket passar utmärkt för användare som inte vill göra detaljerade inställningar. Det första och mycket viktiga steget är att ange användarnamn och lösenord för automatisk uppdatering av programmet. Den automatiska uppdateringen spelar en viktig roll när det gäller att konstant skydda systemet. Kryssrutan för Aktivera ThreatSense.Net Early Warning System är som standard markerad, vilket aktiverar den här funktionen. Klicka på Avancerade inställningar... om du vill ändra inställningarna för att skicka misstänkta filer. Nästa steg i installationsprocessen är konfiguration av Detektering av potentiellt oönskade program. Potentiellt oönskade program är kanske inte menade att vara skadliga, men de kan ofta ha en negativ inverkan på operativsystemet. Dessa program medföljer ofta andra program och kan vara svåra att upptäcka under installationsprocessen. Även om programmen vanligtvis visar ett meddelande under installationen, kan de lätt installeras utan ditt tillstånd. Ange ditt Användarnamn och Lösenord, d.v.s. de autentiseringsuppgifter du erhöll efter köpet eller registreringen av produkten, i motsvarande fält. Om du inte har något användarnamn och lösenord för tillfället väljer du alternativet Ange uppdateringsparametrar senare. Autentiseringsuppgifterna kan anges senare direkt i programmet. Om du vill att ESET Smart Security ska identifiera den här typen av hot markerar du alternativet Aktivera detektering av potentiellt oönskade program (rekommenderas). 5
Det sista steget i en typisk installation är att bekräfta installationen genom att klicka på knappen Installera. 2.2 Anpassad installation Den anpassade installationen är utformad för användare som har erfarenhet av att finjustera program och som vill ändra avancerade inställningar under installationen. Om du använder en proxyserver måste den konfigureras korrekt för att uppdateringarna av virussignaturer ska fungera ordentligt. Om du inte vet om en proxyserver används för att ansluta till Internet ändrar du inte standardinställningen Jag är inte säker på om Internetanslutningen använder en proxyserver. Använd samma inställningar som Internet Explorer och klickar på Nästa. Om du inte använder någon proxyserver väljer du det motsvarande alternativet. Det första steget är att välja en målplats för installationen. Som standard installeras programmet i mappen C:\Program\ESET\ESET Smart Security\. Om du vill byta plats klickar du på Bläddra... (rekommenderas inte). Nästa steg är att Ange användarnamn och lösenord. Det här steget är det samma som vid en typisk installation (se sidan 5). När du har angett användarnamn och lösenord klickar du på Nästa för att Konfigurera din Internetanslutning. Om du vill konfigurera inställningarna för proxyservern markerar du Jag använder en proxyserver och klickar på Nästa. Ange IP- eller URL-adressen för proxyservern i fältet Adress. I fältet Port kan du ange den port där proxyservern accepterar anslutningar (3128 som standard). Om autentisering krävs för proxyservern måste ett giltigt användarnamn och lösenord anges för att ge åtkomst till den. Du kan också kopiera inställningarna för proxyservern från Internet Explorer om du vill. Detta gör du genom att klicka på Verkställ och sedan bekräfta inställningarna. 6
Nästa steg i installationsprocessen är att ange ett lösenord för att skydda programparametrarna. Välj ett lösenord som du vill skydda programmet med. Skriv lösenordet en gång till för att bekräfta det. Klicka på Nästa för att gå vidare till fönstret Konfigurera inställningar för automatisk uppdatering. Det här steget ger dig möjlighet att ange hur automatiska uppdateringar av programkomponenter ska hanteras av systemet. Du kan komma åt de avancerade inställningarna genom att klicka på Ändra... Om du inte vill att programkomponenterna ska uppdateras markerar du Uppdatera aldrig programkomponenter. Om du aktiverar alternativet Fråga innan programkomponenter hämtas visas ett bekräftelsefönster innan hämtning av programkomponenter påbörjas. Om du vill aktivera automatisk uppgradering av programkomponenter markerar du alternativet Utför uppdatering av programkomponenter om det är tillgängligt. Stegen Konfiguration av ThreatSense.Net Early Warning System och Detektering av potentiellt oönskade program är samma som vid en typisk installation, och visas inte här (se sidan 5). Det sista steget i anpassat läge är att välja filtreringsläge för ESET personliga brandvägg. Det finns tre tillgängliga lägen: Automatiskt Interaktivt Principbaserat Automatiskt läge rekommenderas för de flesta användare. Alla utgående standardanslutningar är aktiverade (och analyseras automatiskt enligt fördefinierade inställningar) och oönskade inkommande anslutningar blockeras automatiskt. Obs! Efter en programkomponentuppgradering kan du behöva starta om datorn. Den rekommenderade inställningen är: Starta om datorn utan meddelande vid behov. Interaktivt läge lämpar sig bäst för avancerade användare. Kommunikationen hanteras enligt användardefinierade regler. Om det inte finns någon definierad regel för en anslutning ges användaren möjlighet att tillåta eller avvisa anslutningen. 7
I Principbaserat läge utvärderas anslutningar baserat på fördefinierade regler skapade av administratören. Om det inte finns någon tillgänglig regel, blockeras anslutningen automatiskt och inget varningsmeddelande visas. Du rekommenderas att endast välja Principbaserat läge om du är en administratör som avser att konfigurera nätverkskommunikation. I det sista steget visas ett fönster där du ombeds att bekräfta installationen. 2.5 Genomsökning av datorn När du har installerat ESET Smart Security bör du göra en genomsökning efter skadlig kod. Du kan snabbt starta en genomsökning genom att välja Genomsökning av datorn från huvudmenyn och sedan välja Standardgenomsökning i huvudprogramfönstret. Mer information om genomsökningsfunktionen finns i kapitlet Genomsökning av datorn. 2.3 Använda ursprungsinställningarna Om du installerar om ESET Smart Security, visas alternativet Använd aktuella inställningar. Välj det här alternativet för att överföra inställningsparametrarna från den ursprungliga installationen till den nya installationen. 2.4 Ange användarnamn och lösenord För bästa funktion bör programmet uppdateras automatiskt. Detta är endast möjligt om rätt användarnamn och lösenord anges i uppdateringsinställningarna. Om du inte angav användarnamn och lösenord under installationen kan du göra det nu. Välj Uppdatering i huvudprogramfönstret och klicka sedan på Inställning av användarnamn och lösenord... Ange den information som följde med din produktlicens i fönstret Licensinformation. 8
3. Nybörjarguide Det här kapitlet innehåller en översikt av ESET Smart Security och de grundläggande inställningarna. 3.1 Användargränssnittets utformning och lägen I standardläget kan du komma åt de funktioner som krävs för vanligt förekommande åtgärder. Här visas inga av de avancerade alternativen. Huvudfönstret i ESET Smart Security är uppdelat i två delar. I den vänstra delen finns den användarvänliga huvudmenyn. Huvudprogramfönstret till höger är främst avsett för att visa information och innehållet beror på vad som väljs i huvudmenyn. Här följer en beskrivning av alternativen på huvudmenyn: Skyddsstatus Information om ESET Smart Securitys skyddsstatus i ett användarvänligt format. När avancerat läge är aktiverat visas status för alla skyddsmoduler. Du kan visa aktuell status för en modul genom att klicka på den. Genomsökning av datorn Här kan användaren konfigurera och starta en genomsökning av datorn. Uppdatering Öppnar uppdateringsmodulen som hanterar programuppdateringar av virussignaturdatabasen. Inställningar Markera det här alternativet om du vill justera datorns säkerhetsnivå. Om avancerat läge har aktiverats visas undermenyerna för modulerna Skydd mot virus och spionprogram, Personlig brandvägg och Antispam. Verktyg Det här alternativet finns bara tillgängligt i avancerat läge. Här kan du komma åt Loggfiler, Karantän och Schemaläggaren. Hjälp och support Markera det här alternativet för att komma åt hjälpfiler, ESET:s kunskapsbas, ESET:s webbplats samt få tillgång till formulär för supportfrågor till kundtjänst. Du kan växla mellan standardläge och avancerat läge i användargränssnittet för ESET Smart Security. Längst ned i vänstra hörnet av huvudfönstret för ESET Smart Security finns länken Visa. Om du klickar på den här länken kan du välja visningsläge. Om du växlar till avancerat läge läggs alternativet Verktyg till på huvudmenyn. Med alternativet Verktyg kan användaren komma åt Schemaläggaren, Karantän eller se loggfilerna för ESET Smart Security. Obs! Resten av instruktionerna i den här guiden gäller avancerat läge. 3.1.1 Kontrollera systemdriften Klicka på det här alternativet längst upp på huvudmenyn om du vill visa Skyddsstatus. Då visas en statussammanfattning om driften av ESET Smart Security till höger i fönstret och en undermeny med tre poster öppnas: Antivirusskydd och antispionprogram, Personlig brandvägg och Antispammodul. Visa mer detaljerad information om var och en av de olika modulerna genom att markera dem. Om de aktiverade modulerna fungerar som de ska visas en grön bock bredvid dem. Om en modul inte fungerar korrekt visas ett rött utropstecken eller en orange meddelandeikon bredvid den och ytterligare information om modulen visas längst upp i fönstret. Här visas också ett förslag på hur problemet med modulen kan lösas. Om du vill ändra status för enskilda moduler klickar du på Inställningar i huvudmenyn och klickar på önskad modul. 9
3.1.2 Vad ska man göra om programmet inte fungerar som det ska? Om ESET Smart Security upptäcker ett problem i någon av skyddsmodulerna rapporteras det i fönstret Skyddsstatus. En möjlig lösning presenteras också. I fönstret Avancerade inställningar (tryck på F5 för att öppna det) finns andra mer detaljerade uppdateringsalternativ. Rullgardinsmenyn Uppdateringsserver: ska ha inställningen Välj automatiskt. Om du vill konfigurera avancerade uppdateringsalternativ som uppdateringsläge, proxyserveråtkomst, åtkomst till uppdateringar på en lokal server samt kopiera virussignaturer (ESET Smart Security Business Edition) klickar du på knappen Inställningar... Om det inte går att lösa problemet med hjälp av listan över kända problem och lösningar klickar du på Hjälp och support för att komma åt hjälpfilerna eller för att söka i kunskapsbasen. Om du inte hittar en lösning på problemet kan du skicka en suppportfråga till ESET:s kundtjänst. Med utgångspunkt i dessa uppgifter kan våra specialister snabbt ge svar på dina frågor och ge råd om hur problemet kan lösas. 3.2 Inställning av uppdateringar Att uppdatera virussignaturdatabasen och programkomponenterna är avgörande för att få ett heltäckande skydd mot skadlig kod. Var noggrann vad gäller inställning och genomförande av uppdateringarna. Välj Uppdatering från huvudmenyn och klicka på Uppdatera virussignaturdatabasen i huvudprogramfönstret för att kontrollera om det finns någon ny uppdatering av databasen. Inställning av användarnamn och lösenord... visar en dialogruta där användarnamnet och lösenordet du fick vid köpet ska anges. 3.3 Inställning av tillförlitliga platser Att konfigurera tillförlitliga platser är ett viktigt steg för att skydda din dator i en nätverksmiljö. Du kan tillåta andra användare att komma åt din dator genom att tillåta delning när du konfigurerar tillförlitliga platser. Klicka på Inställningar > Personlig brandvägg > Ändra skyddsläge för datorn i nätverket. Ett fönster visas där du kan konfigurera inställningarna för datorskyddsläget i det aktuella nätverket eller på de aktuella platserna. Om du angav användarnamn och lösenord under installationen av ESET Smart Security, blir du inte ombedd att ange dem här. Identifiering av tillförlitliga platser genomförs efter installationen av ESET Smart Security samt när datorn ansluts till ett nytt nätverk. Därför behöver du i de flesta fall inte definiera de tillförlitliga platserna. Som standard visas en dialogruta vid identifiering av nya platser där du kan ange säkerhetsnivån för platserna. 10
3.5 Inställningsskydd Inställningarna för ESET Smart Security kan vara mycket viktiga för att upprätthålla din organisations säkerhetsprinciper. Oauktoriserade ändringar kan eventuellt utsätta systemets stabilitet och skydd för fara. Om du vill ange ett lösenord för att skydda inställningsparametrarna väljer du följande alternativ med utgångspunkt från huvudmenyn Inställningar > Öppna hela trädet för avancerade inställningar... > Användargränssnitt > Inställningsskydd och klickar på knappen Ange lösenord... Ange ett lösenord, bekräfta det genom att skriva det igen och klicka på OK. Det här lösenordet krävs för att ändra inställningarna för ESET Smart Security i framtiden. Varning! Att felaktigt konfigurera platser som tillförlitliga kan innebära en säkerhetsrisk för datorn. Obs! Som standard får arbetsstationer på tillförlitliga platser åtkomst till delade filer och skrivare, inkommande RPC-kommunikation aktiveras och delning av fjärrskrivbord blir tillgängligt. 3.4 Inställning av proxyserver Om anslutningen till Internet går via en proxyserver i ett system som använder ESET Smart Security, måste detta anges under Avancerade inställningar (F5). Du kan komma åt konfigurationsfönstret Proxyserver genom att klicka på Övrigt > Proxyserver från trädet för avancerade inställningar. Markera kryssrutan Använd proxyserver och ange IP-adress och port för proxyservern tillsammans med dess autentiseringsuppgifter. Om den här informationen inte finns tillgänglig kan du försöka identifiera proxyserverinställningarna för ESET Smart Security automatiskt genom att klicka på knappen Identifiera proxyserver. Obs! Alternativen för proxyserver kan vara olika för olika uppdateringsprofiler. I så fall konfigurerar du proxyservern under avancerade uppdateringsinställningar. 11
4. Arbeta med ESET Smart Security 4.1 Skydd mot virus och spionprogram Antivirusskydd skyddar mot skadliga systemangrepp genom att filer, e-post och Internetkommunikation kontrolleras. Om ett hot med skadlig kod identifieras kan antivirusmodulen eliminera det genom att det först blockeras och därefter rensas, tas bort eller flyttas till karantän. 4.1.1 Skydd av filsystemet i realtid Vid skydd av filsystemet i realtid kontrolleras alla antivirusrelaterade händelser i systemet. Alla filer genomsöks efter skadlig kod i samma stund som de öppnas, skapas eller körs på datorn. Skyddet av filsystemet i realtid startas vid systemstarten. 4.1.1.1 Inställning av kontrollen Med realtidsskyddet av filsystemet kontrolleras alla medietyper, och kontrollen utlöses av olika händelser. Kontrollen använder identifieringsmetoderna med ThreatSense-teknik (enligt beskrivningen i Parameterinställningar för ThreatSense-motorn). Kontrollen kan fungera på olika sätt för befintliga filer och för filer som nyss har skapats. Det går att använda en högre kontrollnivå för filer som nyligen har skapats. 4.1.1.1.3 Ytterligare ThreatSense-parametrar för filer som nyligen har skapats Det är mer sannolikt att nyligen skapade filer är infekterade än att befintliga filer är det. Därför kontrollerar programmet dessa filer med ytterligare sökparametrar. Förutom de vanliga signaturbaserade genomsökningsmetoderna används även avancerad heuristik, vilket avsevärt förbättrar identifieringsnivån. Utöver nyligen skapade filer utförs genomsökningen även på självuppackande filer (SFX) och internt packade filer (internt komprimerade körbara filer). 4.1.1.1.4 Avancerade inställningar När realtidsskydd av filsystemet används genomsöks inte filer mer än en gång (om de inte har ändrats). Detta minskar belastningen på systemet. Filerna genomsöks på nytt omedelbart efter varje uppdatering av virussignaturdatabasen. Den här funktionen kan konfigureras med hjälp av alternativet Optimerad genomsökning. Om den inaktiveras genomsöks alla filer varje gång de används. Som standard startas realtidsskyddet när operativsystemet startas. Detta gör att genomsökningen kan ske oavbrutet. I speciella fall (exempelvis om det uppstår en konflikt med en annan realtidsskanner) går det att avsluta realtidsskyddet genom att inaktivera alternativet Automatisk start av skydd av filsystemet i realtid. 4.1.1.2 Rensningsnivåer Realtidsskyddet har tre rensningsnivåer (för att komma åt dessa klickar du på knappen Inställningar... under Skydd av filsystemet i realtid och klickar sedan på grenen Rensning). 4.1.1.1.1 Media som ska genomsökas Som standard genomsöks alla medietyper efter potentiella hot. Lokala enheter Kontrollerar alla hårddiskar i systemet. Flyttbara media Disketter, USB-lagringsenheter o.s.v. Nätverksenheter Genomsöker alla mappade enheter. Det rekommenderas att standardinställningarna endast ändras i speciella fall, till exempel om kontroll av vissa media gör att dataöverföring går betydligt långsammare. 4.1.1.1.2 Genomsök vid (händelseutlöst genomsökning) Som standard genomsöks alla filer när de öppnas, körs eller skapas. Det rekommenderas att du behåller standardinställningarna eftersom de ger ett maximalt realtidsskydd för datorn. Alternativet Diskettåtkomst ger kontroll över diskettens startsektor vid åtkomst av enheten. Alternativet Avstängning av datorn ger kontroll över hårddiskens startsektorer när datorn stängs av. Startsektorvirus är numera sällsynta, men det rekommenderas ändå att du lämnar dessa alternativ aktiverade, eftersom det fortfarande finns en risk för infektion via startsektorvirus från andra källor. I den första nivån visas ett varningsfönster med tillgängliga alternativ för alla identifierade infiltreringar. Användaren måste ange en åtgärd för varje infiltrering för sig. Den här nivån är avsedd för mer avancerade användare som vet vilka steg som ska tas om en infiltrering har identifierats. I standardnivån väljs en fördefinierad åtgärd automatiskt och utförs därefter. Vilken åtgärd som väljs beror på typen av infiltrering. När en infekterad fil identifieras och tas bort anges det i ett informationsmeddelande längst ned till höger på skärmen. Ingen automatisk åtgärd utförs dock om infiltreringen finns i ett arkiv som även innehåller rena filer. Inte heller utförs någon åtgärd för objekt som inte har någon fördefinierad åtgärd kopplad till sig. Den tredje nivån är den mest aggressiva nivån alla infekterade objekt rensas. Eftersom den här nivån kan leda till att giltiga filer går förlorade rekommenderas det att den endast används i specifika situationer. 12
4.1.1.3 Ändring av konfigurationen för realtidsskydd Realtidsskyddet är en nödvändig komponent för att upprätthålla ett säkert system. Därför måste man vara försiktig när man ändrar dessa parametrar. Du rekommenderas att endast ändra dessa inställningar under vissa förutsättningar. Ett exempel kan vara om det uppstår en konflikt med ett program eller en realtidsskanner hos ett annat antivirusprogram. Efter att ESET Smart Security installerats, optimeras alla inställningar för att ge användarna maximalt systemskydd. Du kan när som helst återställa standardinställningarna genom att klicka på knappen Standard längst ned till höger i fönstret Skydd av filsystemet i realtid (Avancerade inställningar > Antivirusskydd och antispionprogram > Skydd av filsystemet i realtid). 4.1.1.4 Kontroll av realtidsskyddet Du kan kontrollera att realtidsskyddet fungerar och identifierar virus med hjälp av en testfil från eicar.com. Den här testfilen är en särskild framtagen, ofarlig fil som kan identifieras av alla antivirusprogram. Filen skapades av företaget EICAR (European Institute for Computer Antivirus Research) för test av funktionaliteten i antivirusprogram. Det går att hämta filen eicar.com från http://www.eicar.org/download/eicar.com. Obs! Innan kontroll av realtidsskyddet utförs måste brandväggen inaktiveras. Om brandväggen är aktiv identifieras filen och det går inte att hämta testfilerna. 4.1.1.5 Vad ska man göra om realtidsskyddet inte fungerar? I nästa kapitel beskrivs problemsituationer som kan uppstå när realtidsskyddet används, och hur de kan felsökas. Realtidsskyddet startar inte Om realtidsskyddet inte startas när datorn startas (och alternativet Automatisk start av skydd av filsystemet i realtid har markerats) kan det bero på konflikter med andra program. Kontakta i så fall specialisterna på ESET:s kundtjänst. 4.1.2 Skydd av e-post Skydd av e-post gör det möjligt att kontrollera e-postkommunikation som sker med POP3-protokollet. Med plugin-programmet för Microsoft Outlook kan ESET Smart Security ge användaren kontroll över alla typer av kommunikation från e-postklienten (POP3, MAPI, IMAP, HTTP). När inkommande meddelanden undersöks använder programmet alla avancerade genomsökningsmetoder i genomsökningsmotorn ThreatSense. Det innebär att identifiering av skadliga program sker till och med innan de matchas mot virussignaturdatabasen. Genomsökning av kommunikation med POP3-protokollet är oberoende av vilken e-postklient som används. 4.1.2.1 POP3-kontroll POP3-protokollet är det mest spridda protokollet som används till att ta emot e-postkommunikation i en e-postklient. ESET Smart Security skyddar detta protokoll oavsett vilken e-postklient som används. Modulen som ger denna kontroll startas automatiskt när operativsystemet startas och finns därefter aktiv i minnet. Om modulen ska kunna fungera korrekt måste den vara aktiverad. POP3-kontroll utförs automatiskt utan att e-postklienten behöver konfigureras om. Som standard genomsöks all kommunikation på port 110, men det går att lägga till andra kommunikationsportar om det behövs. Portnummer måste avgränsas med kommatecken. Krypterad kommunikation kontrolleras inte. Realtidsskyddet har inaktiverats Om en användare har inaktiverat realtidsskyddet av misstag måste det aktiveras på nytt. Aktivera realtidsskyddet på nytt genom att gå till Inställningar > Antivirusskydd och antispionprogram och klicka på Aktivera under Skydd av filsystemet i realtid i huvudprogramfönstret. Om realtidsskyddet inte startas samtidigt som datorn startas beror det troligen på att alternativet Automatisk start av skydd av filsystemet i realtid har inaktiverats. Aktivera detta alternativ genom att gå till Avancerade inställningar (F5) och klicka på Skydd av filsystemet i realtid i trädet för avancerade inställningar. Under Avancerade inställningar längst ned i fönstret kontrollerar du att kryssrutan Automatisk start av skydd av filsystemet i realtid har markerats. 4.1.2.1.1 Kompatibilitet Vissa e-postprogram kan ha problem med POP3-filtrering (om du till exempel tar emot meddelanden med en långsam Internetanslutning kan timeout uppstå när kontrollen utförs). Om detta är fallet kan du försöka ändra sättet som kontrollen utförs på. Om du minskar kontrollnivån kan det snabba på rensningsprocessen. Om du vill justera kontrollnivån för POP3-filtrering går du till Antivirusskydd och antispionprogram > Skydd av e-post > POP3 > Kompatibilitet. Om Maximal effektivitet har aktiverats tas infiltreringar bort från infekterade meddelanden och information om infiltreringen visas före e-postmeddelandets ursprungliga ämnesrad (om alternativen Ta bort eller Rensa har aktiverats eller om rensningsnivån Strikt eller Standard har aktiverats). Om infiltreringar inte identifieras och rensas av realtidsskyddet Kontrollera att inga andra antivirusprogram har installerats på datorn. Om två realtidsskydd har aktiverats samtidigt kan de hamna i konflikt med varandra. Det rekommenderas att du avinstallerar alla andra antivirusprogram på datorn. Mediumkompatibilitet ändrar sättet som meddelanden tas emot på. Meddelanden skickas till e-postklienten med en del i taget. När den sista delen av meddelandet har överförts genomsöks det efter infiltreringar. Infektionsrisken ökar dock om den här kontrollnivån används. Rensningsnivån och hanteringen av meddelanden (varningsmeddelanden som läggs till i ämnesrader och e-postmeddelanden) är identiska med inställningen för maximal effektivitet. 13
Vid nivån Maximal kompatibilitet visas ett varningsfönster när ett infekterat meddelande har tagits emot. Ingen information om infekterade filer läggs till ämnesraden eller e-postmeddelandet och infiltreringar tas inte bort automatiskt. Användaren måste själv ta bort infiltreringar via e-postklienten. Alternativen för den här funktionen finns under Avancerade inställningar > Skydd mot virus och spionprogram > Skydd av e-post. Med programmet går det att lägga till meddelanden till mottagen och läst e-post samt lägga till meddelanden till skickad e-post. Användaren kan avgöra om meddelandena ska läggas till alla e-postmeddelanden, endast läggas till infekterad e-post eller inte läggas till några e-postmeddelanden. Med ESET Smart Security kan användaren även lägga till meddelanden till den ursprungliga ämnesraden i infekterade meddelanden. Du aktiverar meddelanden i ämnesraden med alternativen Lägg till meddelande till ämnesraden i mottagen och läst infekterad e-post och Lägg till meddelande till ämnesraden för skickad infekterad e-post. Det går att ändra innehållet i meddelandena som läggs till ämnesraden i infekterad e-post i mallfältet. Med ändringarna ovan går det lättare att automatisera processen med filtrering av infekterad e-post, eftersom det gör det möjligt att filtrera e-post med ett specifikt ämne till en separat mapp (om detta stöds av din e-postklient). 4.1.2.3 Ta bort infiltreringar 4.1.2.2 Integrering med Microsoft Outlook, Outlook Express och Windows Mail När ESET Smart Security integreras med e-postklienter förbättras nivån av aktivt skydd mot skadlig kod i e-postmeddelanden. Om det finns stöd för din e-postklient går det att aktivera denna integrering i ESET Smart Security. Om integrering aktiveras läggs verktygsfältet för ESET Smart Security Antispam till direkt i e-postklienten, vilket gör att e-postkommunikationen får ett mer effektivt skydd. Integreringsinställningarna finns under Inställningar > Öppna hela trädet för avancerade inställningar > Övrigt > Integrering med e-postklienter. I den här dialogrutan kan du aktivera integrering med de e-postklienter som stöds. E-postklienter som stöds för närvarande är bland annat Microsoft Outlook, Outlook Express och Windows Mail. Om ett infekterat e-postmeddelande tas emot visas ett varningsfönster. Varningsfönstret visar avsändarens namn, e-postmeddelandet och namnet på infiltreringen. I fönstrets nedre del finns alternativen för det identifierade objektet, Rensa, Ta bort eller Lämna. Det rekommenderas nästan alltid att du väljer antingen Rensa eller Ta bort. I specialfall kan du ange Lämna för att ta emot den infekterade filen. Om Strikt rensning har aktiverats visas ett informationsfönster utan några tillgängliga alternativ för infekterade objekt. 4.1.3 Webbåtkomstskydd Möjligheten att ansluta till Internet har blivit en standardfunktion hos dagens datorer. Tyvärr har detta också blivit den huvudsakliga vägen för överföring av skadlig kod. Det är därför viktigt att du tänker igenom skyddet för webbanslutningen. Det rekommenderas starkt att alternativet Aktivera webbåtkomstskydd aktiveras. Det här alternativet finns i Avancerade inställningar (F5) > Skydd mot virus och spionprogram > Webbåtkomstskydd. Skydd av e-post startas när kryssrutan Aktivera skydd av e-post markeras i Avancerade inställningar (F5) > Antivirusskydd och antispionprogram > Skydd av e-post. 4.1.3.1 HTTP 4.1.2.2.1 Lägga till meddelanden till ett e-postmeddelande Det går att märka varje e-postmeddelande som kontrolleras av ESET Smart Security genom att lägga till ett meddelande till ämnesraden eller till e-postmeddelandet. Den här funktionen ökar tillförlitligheten för mottagaren och om infiltrering identifieras ger den värdefull information om e-postmeddelandets eller avsändarens hotnivå. Webbåtkomstskyddets främsta funktion är att övervaka kommunikationen mellan webbläsare och fjärrservrar enligt reglerna i protokollet HTTP (Hypertext Transfer Protocol). Som standard har ESET Smart Security konfigurerats att använda HTTP-standarderna i de flesta webbläsare. Det går dock delvis att ändra alternativen för HTTP-kontroll genom att gå till Webbåtkomstskydd > HTTP. I fönstret Inställning av HTTP-filter kan du aktivera eller inaktivera HTTP-kontroll med alternativet Aktivera HTTP-kontroll. Du kan även definiera vilka portnummer som används för HTTP-kommunikation. Portnumren 80, 8080 och 3128 används som standard. Det går att automatiskt genomsöka all HTTP-trafik på valfri port genom att lägga till fler portnummer, avgränsade med kommatecken. 14
4.1.3.1.1 Blockerade/undantagna adresser Med inställningen för HTTP-kontroll kan du skapa egna användardefinierade listor med blockerade och undantagna URL-adresser (Uniform Resource Locator). Båda dialogrutorna innehåller knapparna Lägg till, Redigera, Ta bort och Exportera, vilket gör att du lätt kan hantera och underhålla listorna med angivna adresser. Om en adress som begärs av användaren finns med i listan över blockerade adresser går det inte att komma åt adressen. Å andra sidan öppnas sidor vars adress finns i listan med undantagna adresser utan att någon kontroll av skadlig kod utförs. I båda listorna går det att använda symbolerna * (asterisk) och? (frågetecken). Asterisken motsvarar alla teckensträngar och frågetecknet alla tecken. Du bör vara mycket försiktig när du anger undantagna adresser, eftersom den listan endast bör innehålla betrodda och säkra adresser. På samma sätt är det nödvändigt att kontrollera att symbolerna * och? används på ett korrekt sätt i listan. Det går att komma åt listan med program som har markerats som webbläsare direkt från undermenyn Webbläsare i grenen HTTP. Detta avsnitt innehåller även undermenyn Aktivt läge som anger kontrolläget för webbläsare. Aktivt läge är användbart eftersom det gör att överförda data undersöks som en helhet. Om läget inte aktiveras övervakas kommunikation från program gradvis i mindre grupper. Detta minskar effektiviteten hos dataverifieringsprocessen, men det ger även bättre kompatibilitet för programmen i listan. Om inga problem uppstår vid användandet rekommenderas det att du aktiverar det aktiva kontrolläget genom att markera kryssrutan bredvid det önskade programmet. 4.1.4 Genomsökning av datorn 4.1.3.1.2 Webbläsare ESET Smart Security innehåller även funktionen Webbläsare som låter användaren definiera om ett visst program är en webbläsare eller inte. Om användaren har markerat att ett program är en webbläsare övervakas all kommunikation från programmet oavsett vilka portnummer som används vid kommunikationen. Funktionen för webbläsare är ett komplement till funktionen för HTTP-kontroll, eftersom HTTP-kontroll endast utförs på fördefinierade portar. Många Internettjänster använder dock dynamiska eller okända portnummer. På grund av detta går det att använda funktionen för webbläsare till att etablera en kontroll av portkommunikation oavsett vilka anslutningsparametrar som används. Om du misstänker att datorn är infekterad (om den exempelvis uppför sig onormalt) ska du köra en genomsökning av datorn och identifiera eventuella infiltreringar. Av säkerhetsskäl är det mycket viktigt att genomsökningar av datorn inte endast utförs när en infektion misstänks, utan att de utförs regelbundet som en del av rutinåtgärder för säkerhet. Med regelbunden genomsökning går det att hitta infiltreringar som inte identifierades av realtidsskannern när de sparades på disken. Detta kan inträffa om realtidsskannern var inaktiverad vid infektionstillfället eller om virussignaturdatabasen är inaktuell. Det rekommenderas att du utför en genomsökning av datorn minst en eller två gånger i månaden. Det går att konfigurera genomsökning som en schemalagd aktivitet i Verktyg > Schemaläggaren. 15
4.1.4.1 Typ av genomsökning Det finns två tillgängliga typer. Med Standardgenomsökning genomsöks datorn snabbt utan att genomsökningsparametrarna behöver konfigureras ytterligare. Med Anpassad genomsökning kan användaren ange någon av de fördefinierade genomsökningsprofilerna eller markera genomsökningsobjekt i trädstrukturen. Flyttbara media Disketter, USB-lagringsenheter, CD- och DVD-skivor. Nätverksenheter Genomsöker alla mappade enheter. 4.1.4.1.1 Standardgenomsökning En standardgenomsökning är en användarvänlig metod där en användare snabbt kan starta en genomsökning av datorn och rensa infekterade filer utan att det krävs någon användarinteraktion. De huvudsakliga fördelarna är en enkel användning utan någon detaljerad genomsökningskonfiguration. Med en standardgenomsökning kontrolleras alla filer på lokala enheter och identifierade infiltreringar rensas eller tas bort automatiskt. Rensningsnivån får automatiskt standardvärdet. Se Rensning (s. 18) om du vill ha mer information om olika typer av rensning. Standardgenomsökningsprofilen har utformats för användare som snabbt och enkelt vill genomsöka datorn. Den ger en effektiv genomsökning och rensning utan att det behövs någon omfattande konfigurationsprocess. 4.1.4.1.2 Anpassad genomsökning Anpassad genomsökning är en optimal lösning om du vill ange genomsökningsparametrar som genomsökningsobjekt och genomsökningsmetoder. Fördelen med anpassad genomsökning är möjligheten att konfigurera parametrarna i detalj. Det går att spara konfigurationerna i användardefinierade genomsökningsprofiler som kan användas om genomsökning utförs regelbundet med samma parametrar. Ange genomsökningsobjekt med rullgardinsmenyn i snabbfunktionen för val av objekt eller markera objekt i trädstrukturen som visar alla tillgängliga enheter på datorn. Du kan dessutom ange en av tre rensningsnivåer genom att klicka på Inställningar... > Rensning. Om du endast vill genomsöka systemet utan att utföra några andra åtgärder markerar du kryssrutan Genomsök utan rensning. Läget för anpassad genomsökning är avsett för avancerade användare som har tidigare erfarenhet av att använda antivirusprogram. 4.1.4.2 Genomsökningsobjekt Med rullgardinsmenyn för genomsökningsobjekt kan du välja vilka filer, mappar och enheter som ska genomsökas efter virus. Det går även att ange ett genomsökningsobjekt mer exakt genom att ange sökvägen till mappen som innehåller filen eller filerna som ska ingå i genomsökningen. Markera objekt i trädstrukturen som innehåller alla enheter på datorn. 4.1.4.3 Genomsökningsprofiler Det går att spara önskade genomsökningsparametrar för datorn i profiler. Fördelen med att skapa genomsökningsprofiler är att de kan användas flera gånger för genomsökning i framtiden. Det rekommenderas att du skapar så många profiler (med olika genomsökningsobjekt, genomsökningsmetoder och andra parametrar) som användaren använder sig av regelbundet. Om du vill skapa en ny profil som kan användas flera gånger för genomsökningar i framtiden går du till Avancerade inställningar (F5) > Genomsökning av datorn. Klicka på Profiler... till höger så att en lista med befintliga genomsökningsprofiler visas tillsammans med ett alternativ för att skapa en ny profil. I avsnittet Parameterinställningar för ThreatSense-motorn beskrivs alla parametrarna i genomsökningsinställningen. Detta hjälper dig att skapa en genomsökningsprofil som passar för dina behov. Exempel: Anta att du vill skapa en egen genomsökningsprofil och att konfigurationen som har tilldelats till profilen Smart genomsökning delvis är lämplig. Du vill dock inte genomsöka internt packade filer eller potentiellt farliga program och dessutom vill du använda Strikt rensning. Gå till fönstret Konfigurationsprofiler och klicka på knappen Lägg till... Ange namnet på den nya profilen i fältet Profilnamn och välj Smart genomsökning under Kopiera inställningar från profil: på rullgardinsmenyn. Justera därefter de återstående parametrarna så att de uppfyller dina behov. Med snabbmenyn för genomsökningsobjekt kan du ange följande objekt: Lokala enheter Kontrollerar alla hårddiskar i systemet. 16
4.1.5 Parameterinställningar för ThreatSense-motorn ThreatSense är en teknik som består av komplexa hotidentifieringsmetoder. ThreatSense är en proaktiv metod vilket innebär att den mycket tidigt kan skydda datorn mot spridningen av ett nytt hot. Genom att olika metoder kombineras (kodanalys, kodemulering, generiska signaturer, virussignaturer) och används tillsammans kan systemsäkerheten ökas avsevärt. Genomsökningsmotorn kan kontrollera flera dataströmmar samtidigt vilket maximerar effektiviteten och identifieringsfrekvensen. ThreatSense-tekniken är också effektiv för rootkit-eliminering. Med alternativen för inställning av ThreatSense kan användaren ange ett antal olika genomsökningsparametrar: vilka filtyper som ska sökas igenom vilken kombination av de olika identifieringsmetoderna som ska användas rensningsnivå m.m. Öppna inställningsfönstret genom att klicka på knappen Inställningar som finns i inställningsfönstret för alla moduler som använder ThreatSense-tekniken (se nedan). Olika säkerhetsscenarier kräver ofta olika konfigurationer. ThreatSense kan konfigureras individuellt för följande skyddsmoduler: Skydd av filsystemet i realtid Kontroll av filer som startas automatiskt Skydd av e-post Webbåtkomstskydd Genomsökning av datorn ThreatSense-parametrarna är starkt optimerade för varje modul och ändringar av dem kan märkbart påverka systemets funktion. Att till exempel ändra parametrarna så att internt packade filer alltid söks igenom eller att aktivera avancerad heuristik i modulen för skydd av filsystemet i realtid, kan resultera i att systemet blir långsammare (normalt används dessa metoder endast för genomsökning av nyskapade filer). Du rekommenderas därför att lämna standardparametrarna för ThreatSense oförändrade för alla moduler utom för genomsökningsmodulen. 4.1.5.1 Inställning av objekt I avsnittet Objekt kan du definiera vilka datorkomponenter och filer som ska genomsökas efter infiltreringar. Filer Genomsöker alla vanliga filtyper (program, bilder, ljud, videofiler, databasfiler o.s.v.). E-postfiler Genomsöker särskilda filer som innehåller e-postmeddelanden. Arkiv Genomsöker filer som har komprimerats i arkivfiler (.rar,.zip,.arj,.tar o.s.v.). Självuppackande arkiv Genomsöker filer som ingår i självuppackande arkivfiler, men som normalt har filtillägget.exe. Internt packade filer Till skillnad från arkivfiler av standardtyp dekomprimeras internt packade filer i internminnet, förutom statiska standardkomprimerare (UPX, yoda, ASPack, FGS o.s.v.). 4.1.5.2 Alternativ I avsnittet Alternativ kan användaren ange vilka metoder som ska användas vid genomsökningar. Följande alternativ finns tillgängliga: Signaturer Med signaturer går det att på ett exakt och pålitligt sätt identifiera infiltreringar med deras namn med hjälp av virussignaturer. Heuristik Heuristik är en algoritm som analyserar programmens (skadliga) aktivitet. Den största fördelen med heuristisk identifiering är förmågan att identifiera ny skadlig programvara som inte har förekommit tidigare eller som inte finns med i listan med kända virus (virussignaturdatabasen). Avancerad heuristik Avancerad heuristik består av en unik heuristikalgoritm som utvecklats av ESET och som har optimerats för att upptäcka datormaskar och trojanska hästar som har skrivits på ett högnivåprogrammeringsspråk. Med avancerad heuristik får programmet en signifikant högre identifieringsnivå. Reklam-/spionprogram/andra hot Den här kategorin innehåller program som samlar in känslig information om användare utan att de har gett sin tillåtelse till det. Kategorin innefattar även program som visar reklammaterial. Potentiellt farliga program Potentiellt farliga program är klassifikationen som används för kommersiell, laglig programvara. Den innefattar program som fjärråtkomstverktyg, vilket är anledningen till att det här alternativet är inaktiverat som standard. Potentiellt oönskade program Potentiellt oönskade program är kanske inte menade att vara skadliga, men de påverkar ändå din dators prestanda negativt. Sådana program kräver vanligtvis ditt godkännande för att kunna installeras. Om de finns på din dator fungerar ditt system annorlunda (jämfört med hur det fungerade innan du installerade dem). Bland de viktigaste ändringarna är oönskade meddelandefönster, dolda processer som aktiveras och körs, ökad användning av systemresurser, ändringar i sökresultat och program som kommunicerar med fjärrservrar. Arbetsminne Söker efter hot som angriper datorns internminne. Startsektorer Söker i startsektorer efter virus i MBR-sektorn (master boot record). 17
4.1.5.3 Rensning Inställningarna för rensning anger hur skannern fungerar när infekterade filer rensas. Det finns tre rensningsnivåer: Som standard genomsöks alla filer oavsett vilket tillägg de har. Det går att lägga till vilket tillägg som helst i listan över filer som undantas för genomsökning. Om alternativet Genomsök alla filer inte har markerats ändras listan för att visa alla filtillägg som genomsöks. Med hjälp av knapparna Lägg till och Ta bort kan du aktivera eller inaktivera genomsökning av filer med vissa tillägg. Om du vill aktivera genomsökning av filer som saknar tillägg markerar du alternativet Genomsök filer utan tillägg. Det kan vara användbart att undanta filer från genomsökning om genomsökningen av vissa filtyper hindrar programmet som använder tilläggen att fungera som det ska. Det kan till exempel vara lämpligt att undanta filer med tilläggen.edb,.eml och.tmp när MS Exchange server används. 4.1.6 En infiltrering identifieras Datorn kan infiltreras från många olika håll: via webbsidor, delade mappar, e-post eller från flyttbara lagringsenheter (USB-enheter, externa enheter, CD- och DVD-skivor, disketter o.s.v.). Ingen rensning Infekterade filer rensas inte automatiskt. Ett varningsfönster visas där användaren kan välja en åtgärd. Standardnivå Programmet försöker automatiskt rensa eller ta bort infekterade filer. Om det inte är möjligt att välja rätt åtgärd automatiskt visas flera olika uppföljningsåtgärder. Uppföljningsåtgärderna visas även om det inte gick att slutföra en fördefinierad åtgärd. Strikt rensning Programmet rensar eller tar bort alla infekterade filer (inklusive arkivfiler). Det enda undantaget är systemfiler. Om det inte är möjligt att rensa dem visas ett varningsfönster med förslag på åtgärder. Varning: I standardläget tas hela arkivfilen bort endast i de fall då den bara innehåller infekterade filer. Om det även finns legitima filer tas den inte bort. Om en infekterad arkivfil identifieras i läget Strikt rensning tas hela filen bort även om det dessutom finns filer som inte är infekterade. 4.1.5.4 Tillägg Ett tillägg är den del av filnamnet som kommer efter punkten. Tillägget definierar filens typ och innehåll. I det här avsnittet av parameterinställningar för ThreatSense kan du definiera vilken typ av filer som ska genomsökas. Om datorn visar tecken på att ha blivit infekterad av skadlig programvara, till exempel om den har blivit långsammare eller ofta låser sig, rekommenderas det att du gör följande: öppna ESET Smart Security och klicka på Genomsökning av datorn klicka på Standardgenomsökning (se Standardgenomsökning om du vill ha mer information) när genomsökningen har slutförts visas antalet genomsökta, infekterade och rensade filer i loggen. Om du endast vill genomsöka en viss del av disken klickar du på Anpassad genomsökning och anger vad som ska genomsökas efter virus. Ett allmänt exempel för hur infiltreringar hanteras i ESET Smart Security: anta att en infiltrering identifieras av realtidsövervakaren av filsystemet, där standardnivån för rensning används. Ett försök görs att rensa eller ta bort filen. Om det inte finns någon fördefinierad åtgärd som ska vidtas för realtidsskyddsmodulen visas ett varningsfönster och du uppmanas att ange ett alternativ. Vanligtvis finns alternativen Rensa, Ta bort och Lämna tillgängliga. Det rekommenderas inte att du anger Lämna, eftersom det innebär att den eller de filer som är infekterade förblir orörda. Ett undantag är när du är säker på att filen är ofarlig och har identifierats som skadlig av misstag. Rensning och borttagning Utför rensning om en ren fil har angripits av ett virus som har lagt till skadlig kod i den rena filen. Om detta är fallet ska du först försöka rensa den infekterade filen så att den återgår till ursprungsläget. Om filen endast består av skadlig kod tas den bort. 18
Om en infekterad fil är låst eller används av en systemprocess tas den vanligtvis inte bort förrän den har släppts (normalt efter det att systemet har startats om). Ta bort filer i arkiv I standardläget för rensning tas hela arkivet endast bort om det bara innehåller infekterade filer och inga rena filer. Arkiv tas alltså inte bort om de även innehåller ofarliga rena filer. Var dock försiktig när du utför en genomsökning med strikt rensning. Om strikt rensning används tas hela arkivet bort om det innehåller minst en infekterad fil, oavsett status för de andra filerna i arkivet. 4.2.2 Blockera all trafik: koppla från nätverket Det enda sättet att helt blockera nätverkstrafik är att använda alternativet Blockera all nätverkstrafik: koppla från nätverket. All inoch utgående kommunikation blockeras av den personliga brandväggen utan att någon varning visas. Det här blockeringsalternativet använder du endast om du misstänker att en kritisk säkerhetsrisk kräver att hela systemet kopplas från nätverket. 4.2 Personlig brandvägg En personlig brandvägg kontrollerar all nätverkstrafik till och från systemet, genom att tillåta eller neka olika nätverksanslutningar beroende på angivna filtreringsregler. Brandväggen skyddar mot angrepp från fjärrdatorer och möjliggör blockering av vissa tjänster. Den ger också antivirusskydd för protokollen HTTP och POP3. Den här funktionen utgör en mycket viktig del av datorsäkerheten. 4.2.1 Filtreringslägen Det finns tre filtreringslägen för den personliga brandväggen i ESET Smart Security. Brandväggens beteende ändras beroende på vilket läge som valts. Filtreringsläget påverkar också hur mycket användaren behöver göra. Filtreringen kan utföras i ett av följande tre lägen: Automatiskt filtreringsläge är standardläget. Det lämpar sig för användare som föredrar en enkel och bekväm användning av brandväggen utan att behöva definiera regler. I det automatiska läget tillåts all utgående trafik för det angivna systemet samtidigt som nya anslutningar som initieras från nätverkssidan blockeras. Interaktivt filtreringsläge ger dig möjlighet att bygga upp en skräddarsydd konfiguration för den personliga brandväggen. När en anslutning identifieras och det inte finns någon regel som kan användas för den anslutningen, öppnas en dialogruta som rapporterar en okänd anslutning. Du kan sedan välja att tillåta eller neka kommunikation och beslutet att tillåta eller neka kan sparas som en ny regel för den personliga brandväggen. Om användaren väljer att skapa en ny regel, kommer alla framtida anslutningar av den här typen att tillåtas eller blockeras enligt regeln. I det principbaserade läget blockeras alla anslutningar som inte tillåts av en regel. I det här läget kan avancerade användare definiera regler som endast tillåter önskade och säkra anslutningar. Alla övriga, ospecificerade anslutningar kommer att blockeras av den personliga brandväggen. 4.2.3 Inaktivera filtrering: tillåt all trafik Alternativet Inaktivera filtrering ger den motsatta konfigurationen jämfört med den tidigare nämnda blockeringen av all kommunikation. Om det här alternativet markeras stängs alla filtreringsalternativ för den personliga brandväggen av och alla inkommande och utgående anslutningar tillåts. Detta får samma effekt på nätverket som om det inte fanns någon brandvägg. 4.2.4 Konfigurera och använda regler Regler består av en uppsättning villkor som används för kontroll av nätverksanslutningar samt de åtgärder som är tilldelade dessa villkor. I den personliga brandväggen kan du definiera vilken åtgärd som ska utföras om en anslutning som definierats i en regel upprättas. Du kommer åt filtreringsinställningarna för regler genom att gå till Avancerade inställningar (F5) > Personlig brandvägg > Regler och zoner. Du kan visa den aktuella konfigurationen genom att klicka på Inställningar... under Redigerare för zoner och regler (om den personliga brandväggen har inställningen Automatiskt filtreringsläge finns dessa inställningar inte tillgängliga). 19
I fönstret Inställningar för zoner och regler visas en översikt över regler och zoner (beroende på vilken flik som valts). Fönstret är uppdelat i två delar. I den övre delen visas en förkortad lista över alla regler. I den undre delen visas information om den regel som för tillfället markerats i den övre delen. Längst ned finns knapparna Ny, Redigera och Ta bort som kan användas för att konfigurera regler. Om man tar hänsyn till kommunikationsriktningen kan anslutningarna delas in i inkommande och utgående anslutningar. Inkommande anslutningar initieras av en fjärrdator som försöker upprätta en anslutning med det lokala systemet. Utgående anslutningar fungerar tvärtom den lokala sidan kontaktar en fjärrdator. Om ett nytt, okänt kommunikationsförsök upptäcks måste du noga överväga om du ska tillåta eller neka kommunikation. Oönskade, oskyddade eller helt okända anslutningar utgör en säkerhetsrisk för systemet. Om en sådan anslutning upprättas rekommenderas du att noggrannt granska fjärrsidan och det program som försöker ansluta till datorn. Infiltreringar försöker ofta söka upp och skicka privat information eller ladda ned andra skadliga program till värddatorerna. Med hjälp av den personliga brandväggen kan användaren identifiera och avsluta sådana anslutningar. 4.2.4.1 Skapa nya regler När du installerar ett nytt program som använder nätverket eller om du ändrar en befintlig anslutning (fjärrsida, portnummer m.m.), måste du skapa en ny regel. Ett bra exempel på behovet av att lägga till en ny regel är när du ska tillåta en webbläsare att komma åt nätverket. I det fallet måste följande information ges: aktivera utgående kommunikation via protokollen TCP och UDP på fliken Allmänt lägg till den process som representerar den aktuella webbläsaren (för Internet Explorer är det iexplore.exe) på fliken Lokal aktivera port nummer 80 på fliken Fjärr endast om du vill tillåta standardwebbtjänster. 4.2.4.2 Redigera regler Om du vill ändra en befintlig regel klickar du på knappen Redigera. Alla parametrar som nämns ovan (och som beskrivs i kapitlet Skapa nya regler ) kan ändras. Om du vill lägga till en ny regel väljer du fliken Regler. Sedan klickar du på knappen Ny i fönstret Inställningar för zoner och regler. När du klickar på den här knappen öppnas en dialogruta där du kan ange inställningar för en ny regel. I fönstrets övre del finns tre flikar: Ändring av reglerna krävs varje gång någon av de övervakade parametrarna ändras. Resultatet blir annars att regeln inte uppfyller villkoren och att den angivna åtgärden inte kan tillämpas. Detta kan resultera i att den angivna anslutningen nekas, vilket kan medföra problem med funktionen hos det berörda programmet. Ett exempel kan vara ett byte av nätverksadress eller portnummer på fjärrsidan. 4.2.5 Konfigurera zoner Allmänt: Här anger du regelns namn, riktning, åtgärd och protokoll. Riktningen är antingen in eller ut (eller både och). Med åtgärd menas att tillåta eller neka den angivna anslutningen. Lokal: Visar information om den lokala sidan av anslutningen, inklusive numret på den lokala porten eller portintervallet samt namnet på det program som kommunicerar. Fjärr: På den här fliken finns information om fjärrporten (portintervallet). Här kan användaren också definiera en lista med fjärr-ip-adresser eller fjärrzoner för den angivna regeln. En zon består av en samling nätverksadresser som samlats till en logisk grupp. Varje adress i en grupp tilldelas liknande regler som definieras centralt för hela gruppen. Ett exempel på en sådan grupp är gruppen Tillförlitliga platser. Tillförlitliga platser består av en grupp nätverksadresser som användaren litar på och som inte på något sätt blockeras av den personliga brandväggen. Du kan konfigurera dessa zoner genom gå till fliken Zoner i fönstret Inställningar för zoner och regler och klicka på knappen Ny. I det fönster som öppnas anger du ett namn på zonen, en beskrivning samt en lista med nätverksadresser. 20