ESET Mail Security for Microsoft Exchange Server
Transkrypt
ESET Mail Security for Microsoft Exchange Server
ESET MAILSECURITY DLA MICROSOFT EXCHANGESERVER Instrukcja instalacji i podręcznik użytkownika Microsoft® Windows® Server 2000 / 2003 / 2008 / 2008 R2 / 2012 / 2012 R2 Kliknij tutaj, aby pobrać najnowszą wersję tego dokumentu ESET MAIL SECURITY Copyright ©2014 ESET, spol. s r.o. Oprogramowanie ESET Mail Security zostało opracowane przez firmę ESET, spol. s r.o. Więcej informacji można znaleźć w witrynie www.eset.com. Wszelkie prawa zastrzeżone. Żadna część niniejszej dokumentacji nie może być powielana, przechowywana w systemie pobierania ani przesyłana w żadnej formie bądź przy użyciu jakichkolwiek środków elektronicznych, mechanicznych, przez fotokopiowanie, nagrywanie, skanowanie lub w inny sposób bez uzyskania pisemnego zezwolenia autora. Firma ESET, spol. s r.o. zastrzega sobie prawo do wprowadzania zmian w dowolnych elementach opisanego oprogramowania bez uprzedniego powiadomienia. Dział obsługi klienta: www.eset.com/support WER. 5/2/2014 Spis treści 1. Wprowadzenie ..................................................5 1.1 Co nowego ........................................................................5 w wersj i 4.5? 1.2 Wymagania ........................................................................5 systemowe 1.3 3.3.2 3.3.2.1 Używane ........................................................................6 metody 1.3.1 1.3.2 Skanowanie skrzynki pocztowej za pomocą interfejsu .........................................................................6 VSAPI Filtrowanie wiadomości na poziomie serwera SMTP .........................................................................6 1.4 Typy ........................................................................6 ochrony 1.4.1 1.4.2 1.4.3 Ochrona .........................................................................6 antywirusowa Ochrona .........................................................................6 przed spamem Stosowanie reguł zdefiniowanych przez użytkownika .........................................................................7 1.5 Interfej ........................................................................7 s użytkownika 2. Instalacj a ..................................................8 2.1 Typowa ........................................................................8 instalacj a 2.2 Instalacj ........................................................................9 a zaawansowana 2.3 Serwer ........................................................................11 terminali 2.4 Uaktualnianie ........................................................................12 do nowszej wersj i 2.5 Role........................................................................13 serwera Exchange — granica a centrum 2.6 Role........................................................................13 programu Exchange Server 2013 2.7 Instalowanie ........................................................................13 w środowisku klastrowym 2.8 Licencj ........................................................................15 a 2.9 Konfiguracj ........................................................................17 a po instalacj i 3. ESET Mail Security — ochrona serwera Microsoft Exchange Server ..................................................19 3.1 3.3.1 3.3.1.1 3.3.1.2 Ustawienia ........................................................................19 ogólne 3.1.1 3.1.1.1 3.1.1.2 3.1.2 3.1.2.1 3.1.2.2 3.1.3 3.1.4 3.1.4.1 3.1.5 Microsoft .........................................................................19 Exchange Server VSAPI (Virus-Scanning Application Programming Interface) ........................................................................19 Agent ........................................................................20 transportu Reguły .........................................................................22 Dodawanie ........................................................................23 nowych reguł Czynności ........................................................................24 podejmowane przy stosowaniu reguł Pliki .........................................................................25 dziennika Kwarantanna .........................................................................26 wiadomości Dodawanie ........................................................................28 nowej reguły kwarantanny Wydajność .........................................................................28 3.2 Ustawienia ........................................................................28 ochrony antywirusowej i antyspyware 3.2.1 3.2.1.1 3.2.1.1.1 3.2.1.1.1.1 3.2.1.1.1.2 3.2.1.1.2 3.2.1.1.2.1 3.2.1.1.2.2 3.2.1.1.3 3.2.1.1.3.1 3.2.1.1.3.2 3.2.1.1.4 3.2.1.1.4.1 3.2.1.1.4.2 3.2.1.1.5 3.2.2 3.2.3 3.2.4 Microsoft .........................................................................29 Exchange Server VSAPI (Virus-Scanning Application Programming Interface) ........................................................................29 Microsoft ..........................................................................29 Exchange Server 5.5 (VSAPI 1.0) Czynności .........................................................................30 Wydajność .........................................................................30 Microsoft ..........................................................................30 Exchange Server 2000 (VSAPI 2.0) Czynności .........................................................................31 Wydajność .........................................................................31 Microsoft ..........................................................................32 Exchange Server 2003 (VSAPI 2.5) Czynności .........................................................................32 Wydajność .........................................................................33 Microsoft ..........................................................................33 Exchange Server 2007/2010 (VSAPI 2.6) Czynności .........................................................................34 Wydajność .........................................................................35 Agent ..........................................................................35 transportu Czynności .........................................................................36 Alerty .........................................................................37 i powiadomienia Wyłączenia .........................................................................37 automatyczne 3.3 Ochrona ........................................................................38 przed spamem 3.3.2.1.1 3.3.2.1.1.1 3.3.2.1.1.2 3.3.2.1.1.1 3.3.2.1.2 3.3.2.1.3 3.3.2.1.3.1 3.3.2.1.3.1 3.3.2.1.3.2 3.3.2.1.3.3 3.3.2.1.3.1 3.3.2.1.3.4 3.3.2.1.4 3.3.2.1.4.1 3.3.2.1.4.2 3.3.2.1.4.3 3.3.2.1.4.4 3.3.2.1.4.5 3.3.2.1.4.6 3.3.2.1.4.7 3.3.2.1.4.8 3.3.2.1.4.9 3.3.2.1.5 3.3.2.1.5.1 3.3.2.1.5.1 3.3.2.1.5.2 3.3.2.1.5.1 3.3.2.1.5.2 3.3.2.1.5.3 3.3.2.1.5.1 3.3.2.1.6 3.3.2.1.7 3.3.2.1.8 3.3.2.1.8.1 3.3.2.1.8.2 3.3.2.1.9 3.3.2.1.10 3.3.2.1.11 3.3.2.1.11.1 3.3.2.1.11.2 3.3.2.1.11.3 3.3.2.1.11.4 3.3.2.1.12 3.3.2.1.13 3.3.2.1.14 3.3.3 Microsoft .........................................................................39 Exchange Server Agent ........................................................................39 transportu Rozwiązanie POP3 Connector i ochrona przed spamem ........................................................................40 Aparat .........................................................................41 antyspamowy Ustawienia parametrów aparatu antyspamowego ........................................................................41 Analiza ..........................................................................41 Próbki .........................................................................42 SpamCompiler .........................................................................42 Lista .........................................................................42 plików w pamięci podręcznej Szkolenie ..........................................................................43 Reguły ..........................................................................43 Waga .........................................................................44 reguły Dodawanie .........................................................................44 wagi reguły Lista .........................................................................44 pobranych plików reguł Waga .........................................................................44 kategorii Dodawanie .........................................................................44 wagi kategorii Lista .........................................................................45 reguł niestandardowych Filtrowanie ..........................................................................45 Dozwoleni .........................................................................45 nadawcy Zablokowani .........................................................................45 nadawcy Dozwolone .........................................................................45 adresy IP Ignorowane .........................................................................46 adresy IP Zablokowane .........................................................................46 adresy IP Domeny .........................................................................46 dozwolone Domeny .........................................................................46 ignorowane Domeny .........................................................................46 zablokowane Sfałszowani .........................................................................46 nadawcy Weryfikacja ..........................................................................46 Lista .........................................................................47 RBL (Realtime Blackhole List) Lista .........................................................................47 serwerów RBL Lista .........................................................................47 LBL (Last Blackhole List) Lista .........................................................................47 serwerów LBL Lista .........................................................................47 pomijanych adresów IP Lista .........................................................................47 DNSBL (DNS Block List) Lista .........................................................................48 serwerów DNSBL DNS ..........................................................................48 Wynik ..........................................................................48 Wabik ..........................................................................49 na spam Adresy .........................................................................49 wabika na spam Adresy .........................................................................49 uznane za nieistniejące Komunikacja ..........................................................................49 Wydajność ..........................................................................49 Ustawienia ..........................................................................50 regionalne Lista .........................................................................50 języków macierzystych Lista .........................................................................51 krajów macierzystych Lista .........................................................................56 zablokowanych krajów Lista .........................................................................56 zablokowanych zestawów znaków Pliki ..........................................................................56 dziennika Statystyki ..........................................................................56 Opcje ..........................................................................56 Alerty .........................................................................57 i powiadomienia 3.4 Często ........................................................................57 zadawane pytania 4. ESET..................................................61 Mail Security — ochrona serwera 4.1 Antywirus ........................................................................61 i antyspyware 4.1.1 4.1.1.1 4.1.1.1.1 4.1.1.1.2 4.1.1.1.3 4.1.1.2 4.1.1.3 4.1.1.4 4.1.1.5 4.1.2 4.1.2.1 Ochrona .........................................................................61 systemu plików w czasie rzeczywistym Ustawienia ........................................................................61 sprawdzania Skanowane ..........................................................................62 nośniki Skanowanie włączone (skanowanie po wystąpieniu ..........................................................................62 zdarzenia) Zaawansowane ..........................................................................62 opcje skanowania Poziomy ........................................................................63 leczenia Zmienianie ustawień ochrony w czasie rzeczywistym ........................................................................63 Sprawdzanie skuteczności ochrony w czasie rzeczywistym ........................................................................64 Co zrobić, jeśli ochrona w czasie rzeczywistym nie działa ........................................................................64 Ochrona .........................................................................65 programów poczty e-mail Sprawdzanie ........................................................................65 protokołu POP3 4.1.2.1.1 4.1.2.2 4.1.2.2.1 4.1.2.3 4.1.3 4.1.3.1 4.1.3.1.1 4.1.3.1.2 4.1.4 4.1.4.1 4.1.4.1.1 4.1.4.1.2 4.1.4.2 4.1.4.3 4.1.4.4 4.1.5 4.1.6 4.1.6.1 4.1.6.1.1 4.1.6.1.2 4.1.7 4.1.7.1 4.1.7.2 4.1.7.3 4.1.7.4 4.1.7.5 4.1.7.6 4.1.8 Zgodność ..........................................................................66 Integracja ........................................................................66 z programami pocztowymi Dołączanie ..........................................................................67 informacji do treści wiadomości Usuwanie ........................................................................67 infekcji Ochrona .........................................................................68 dostępu do stron internetowych Protokoły ........................................................................68 HTTP i HTTPS Zarządzanie ..........................................................................69 adresami Tryb ..........................................................................70 aktywny Skanowanie .........................................................................71 komputera na żądanie Typ........................................................................72 skanowania Skanowanie ..........................................................................72 inteligentne Skanowanie ..........................................................................72 niestandardowe Skanowane ........................................................................73 obiekty Profile ........................................................................73 skanowania Wiersz ........................................................................74 polecenia Wydajność .........................................................................76 Filtrowanie .........................................................................76 protokołów Protokół ........................................................................76 SSL Zaufane ..........................................................................77 certyfikaty Wyłączone ..........................................................................77 certyfikaty Ustawienia .........................................................................77 parametrów technologii ThreatSense Ustawienia ........................................................................78 obiektów Opcje ........................................................................78 Leczenie ........................................................................80 Rozszerzenia ........................................................................81 Limity ........................................................................81 Inne ........................................................................82 Wykryto .........................................................................82 infekcję 4.2 Aktualizowanie ........................................................................83 programu 4.2.1 4.2.1.1 4.2.1.2 4.2.1.2.1 4.2.1.2.2 4.2.1.2.3 4.2.1.2.4 Ustawienia .........................................................................85 aktualizacji Profile ........................................................................86 aktualizacji Zaawansowane ........................................................................86 ustawienia aktualizacji Tryb ..........................................................................86 aktualizacji Serwer ..........................................................................88 proxy Połączenie ..........................................................................89 z siecią LAN Tworzenie kopii aktualizacji — kopia dystrybucyjna ..........................................................................91 4.2.1.2.4.1 Aktualizowanie .........................................................................92 przy użyciu kopii dystrybucyjnej 4.2.1.2.4.2 Rozwiązywanie problemów z aktualizacją przy użyciu .........................................................................93 kopii dystrybucyjnej 4.2.2 Tworzenie .........................................................................93 zadań aktualizacji 4.7 ESET ........................................................................117 SysRescue 4.7.1 4.7.2 4.7.3 4.7.4 4.7.4.1 4.7.4.2 4.7.4.3 4.7.4.4 4.7.4.5 4.7.4.6 4.7.5 4.7.5.1 Minimalne .........................................................................117 wymagania W.........................................................................118 jaki sposób utworzyć ratunkową płytę CD Wybór .........................................................................118 nośnika docelowego Ustawienia .........................................................................118 Foldery ........................................................................119 ESET ........................................................................119 Antivirus Ustawienia ........................................................................119 zaawansowane Protokół ........................................................................120 internetowy Urządzenie ........................................................................120 rozruchowe USB Nagrywanie ........................................................................120 Praca .........................................................................120 z programem ESET SysRescue Korzystanie ........................................................................121 z programu ESET SysRescue 4.8 Opcj........................................................................121 e interfej su użytkownika 4.8.1 4.8.2 Alerty .........................................................................123 i powiadomienia Wyłączanie .........................................................................124 interfejsu GUI na serwerze terminali 4.9 eShell ........................................................................124 4.9.1 4.9.2 Sposób .........................................................................125 użycia Polecenia .........................................................................128 4.10 Import ........................................................................131 i eksport ustawień 4.11 ThreatSense.Net ........................................................................131 4.11.1 4.11.2 4.11.3 Podejrzane .........................................................................132 pliki Statystyki .........................................................................133 Przesyłanie .........................................................................134 4.12 Administracj ........................................................................135 a zdalna 4.13 Licencj ........................................................................136 e 5. Słowniczek ..................................................137 5.1 Typy ........................................................................137 infekcj i 5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 5.1.7 5.1.8 Wirusy .........................................................................137 Robaki .........................................................................137 Konie .........................................................................138 trojańskie Programy .........................................................................138 typu rootkit Adware .........................................................................138 Spyware .........................................................................139 Potencjalnie .........................................................................139 niebezpieczne aplikacje Potencjalnie .........................................................................139 niepożądane aplikacje ........................................................................140 e-mail 4.3 Harmonogram ........................................................................94 5.2 Poczta 5.2.1 Reklamy .........................................................................140 4.3.1 Cel .........................................................................94 planowania zadań 5.2.2 Fałszywe .........................................................................140 alarmy 4.3.2 Tworzenie .........................................................................95 nowych zadań 5.2.3 Ataki .........................................................................141 typu „phishing” 4.4 Kwarantanna ........................................................................96 5.2.4 Rozpoznawanie .........................................................................141 spamu 4.4.1 Poddawanie .........................................................................96 plików kwarantannie 5.2.4.1 Reguły ........................................................................141 4.4.2 Przywracanie .........................................................................97 plików z kwarantanny 5.2.4.2 Filtr ........................................................................142 Bayesa 4.4.3 Przesyłanie .........................................................................97 pliku z kwarantanny 5.2.4.3 Biała ........................................................................142 lista 4.5 Pliki........................................................................98 dziennika 5.2.4.4 Czarna ........................................................................142 lista 5.2.4.5 Kontrola ........................................................................142 po stronie serwera 4.5.1 Filtrowanie .........................................................................102 dziennika 4.5.2 Znajdowanie .........................................................................103 w dzienniku 4.5.3 Administracja .........................................................................105 dziennikami 4.6 ESET ........................................................................106 SysInspector 4.6.1 4.6.1.1 4.6.2 4.6.2.1 4.6.2.2 4.6.2.2.1 4.6.2.3 4.6.3 4.6.4 4.6.4.1 4.6.4.2 4.6.4.3 4.6.5 4.6.6 Wprowadzenie .........................................................................106 do programu ESET SysInspector Uruchamianie ........................................................................106 programu ESET SysInspector Interfejs .........................................................................107 użytkownika i używanie aplikacji Sterowanie ........................................................................107 programem Nawigacja ........................................................................108 w programie ESET SysInspector Skróty ..........................................................................109 klawiaturowe Funkcja ........................................................................111 Porównaj Parametry .........................................................................112 wiersza polecenia Skrypt .........................................................................112 usługi Tworzenie ........................................................................113 skryptu usługi Struktura ........................................................................113 skryptu usługi Wykonywanie ........................................................................115 skryptów usługi Często .........................................................................115 zadawane pytania ESET SysInspector jako część produktu ESET Mail Security .........................................................................117 1. Wprowadzenie Program ESET Mail Security 4 dla oprogramowania Microsoft Exchange Server to zintegrowane rozwiązanie, które chroni skrzynki pocztowe przed różnego rodzaju szkodliwym oprogramowaniem, takim jak załączniki do wiadomości e-mail zarażone robakami lub końmi trojańskimi, dokumenty zawierające szkodliwe skrypty, ataki typu „phishing” czy spam. ESET Mail Security zapewnia trzy rodzaje ochrony: antywirusową, przed spamem oraz stosowanie reguł zdefiniowanych przed użytkownika. Program ESET Mail Security filtruje szkodliwą zawartość na poziomie serwera poczty — zanim dotrze ona do skrzynki odbiorczej programu poczty e-mail odbiorcy. Program ESET Mail Security obsługuje oprogramowanie Microsoft Exchange Server 2000 i nowsze, a także platformę Microsoft Exchange Server w środowisku klastrowym. W nowszych wersjach (Microsoft Exchange Server 2007 i późniejsze) są również obsługiwane określone role (skrzynka pocztowa, centrum, granica). Narzędzie ESET Remote Administrator umożliwia zdalne zarządzanie programem ESET Mail Security w większych sieciach. Oprócz ochrony oprogramowania Microsoft Exchange Server program ESET Mail Security oferuje również narzędzia pomagające chronić sam serwer (ochrona rezydentna, ochrona dostępu do stron internetowych, ochrona programów poczty e-mail oraz ochrona przed spamem). 1.1 Co nowego w wersj i 4.5? W porównaniu z programem ESET Mail Security w wersji 4.3 wersja 4.5 oferuje następujące nowości i ulepszenia: Ustawienia ochrony przed spamem — łatwy dostęp za pośrednictwem graficznego interfejsu użytkownika, co umożliwia administratorom znacznie wygodniejsze wprowadzanie zmian Obsługa systemu Microsoft Exchange Server 2013 Obsługa systemu Microsoft Windows Server 2012 / 2012 R2 1.2 Wymagania systemowe Obsługiwane systemy operacyjne: Microsoft Windows 2000 Server Microsoft Windows Server 2003 (oparty na procesorze x86 i x64) Microsoft Windows Server 2008 (oparty na procesorze x86 i x64) Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Small Business Server 2003 (oparty na procesorze x86) Microsoft Windows Small Business Server 2003 R2 (oparty na procesorze x86) Microsoft Windows Small Business Server 2008 (oparty na procesorze x64) Microsoft Windows Small Business Server 2011 (oparty na procesorze x64) Obsługiwane wersje oprogramowania Microsoft Exchange Server: Microsoft Exchange Server 2000 z dodatkiem SP1, SP2, SP3 Microsoft Exchange Server 2003 z dodatkiem SP1, SP2 Microsoft Exchange Server 2007 z dodatkiem SP1, SP2, SP3 Microsoft Exchange Server 2010 z dodatkiem SP1, SP2, SP3 Microsoft Exchange Server 2013 Wymagania sprzętowe zależą od wersji systemu operacyjnego oraz używanej wersji oprogramowania Microsoft Exchange Server. Więcej informacji na temat wymagań sprzętowych można znaleźć w dokumentacji produktu Microsoft Exchange Server. 5 1.3 Używane metody Wiadomości e-mail są skanowane za pomocą dwóch niezależnych metod: Skanowanie skrzynki pocztowej za pomocą interfejsu VSAPI Filtrowanie wiadomości na poziomie serwera SMTP 6 6 1.3.1 Skanowanie skrzynki pocztowej za pomocą interfej su VSAPI Proces skanowania skrzynki pocztowej jest wywoływany i kontrolowany przez oprogramowanie Microsoft Exchange Server. Wiadomości e-mail zapisane w bazie danych magazynu oprogramowania Microsoft Exchange Server są stale skanowane. Zależnie od wersji oprogramowania Microsoft Exchange Server, wersji interfejsu VSAPI oraz ustawień zdefiniowanych przez użytkownika proces skanowania może być wywoływany w każdej z następujących sytuacji: Gdy użytkownik uzyskuje dostęp do poczty e-mail, na przykład w programie poczty e-mail (poczta e-mail jest zawsze skanowana przy użyciu najnowszej bazy sygnatur wirusów). W tle, kiedy wykorzystanie oprogramowania Microsoft Exchange Server jest niskie. Z wyprzedzeniem (na podstawie wewnętrznego algorytmu oprogramowania Microsoft Exchange Server). Interfejs VSAPI jest obecnie używany do skanowania w poszukiwaniu wirusów oraz ochrony opartej na regułach. 1.3.2 Filtrowanie wiadomości na poziomie serwera SMTP Filtrowanie SMTP na poziomie serwera jest chronione za pomocą specjalnego dodatku. W oprogramowaniu Microsoft Exchange Server 2000 i 2003 ten dodatek (Event Sink) jest zarejestrowany na serwerze SMTP jako składnik usług IIS (Internet Information Services). W oprogramowaniu Microsoft Exchange Server 2007/2010 dodatek jest zarejestrowany jako agent transportu w rolach Granica lub Centrum oprogramowania Microsoft Exchange Server. Filtrowanie na poziomie serwera SMTP przez agenta transportu zapewnia ochronę w postaci reguł ochrony antywirusowej, ochrony przed spamem oraz zdefiniowanych przez użytkownika. W przeciwieństwie do filtrowania za pomocą interfejsu VSAPI filtrowanie na poziomie serwera SMTP jest wykonywane zanim skanowana wiadomość e-mail trafi do skrzynki pocztowej oprogramowania Microsoft Exchange Server. 1.4 Typy ochrony Istnieją trzy rodzaje ochrony: 1.4.1 Ochrona antywirusowa Ochrona antywirusowa jest jedną z podstawowych funkcji programu ESET Mail Security. Ochrona antywirusowa zabezpiecza system przed szkodliwymi atakami, sprawdzając pliki, pocztę e-mail i komunikację internetową. W przypadku wykrycia zagrożenia zawierającego złośliwy kod moduł antywirusowy może je wyeliminować poprzez zablokowanie, a następnie wyleczenie, usunięcie lub przeniesienie do kwarantanny 96 . 1.4.2 Ochrona przed spamem Ochrona przed spamem obejmuje liczne mechanizmy (lista RBL, lista DNSBL, sygnatury, sprawdzanie reputacji, analiza zawartości, filtr Bayesa, reguły, ręczne umieszczanie na białej/czarnej liście) służące uzyskaniu maksymalnej skuteczności wykrywania zagrożeń związanych z pocztą e-mail. Wynikiem działania aparatu antyspamowego jest wartość prawdopodobieństwa przynależności danej wiadomości e-mail do spamu, wyrażona w procentach (0–100). Kolejnym składnikiem modułu ochrony przed spamem jest szara lista (domyślnie wyłączona). Metoda ta jest oparta na standardzie RFC 821, zgodnie z którym ze względu na zawodność protokołu SMTP jako środka przekazu każdy agent przesyłania wiadomości (ang. message transfer agent, MTA) powinien powtarzać próbę dostarczenia wiadomości e-mail po wystąpieniu tymczasowego niepowodzenia. Znaczna część spamu składa się z jednorazowych przesyłek dostarczanych (za pomocą specjalnych narzędzi) do obszernej listy adresów e-mail generowanych automatycznie. Serwer, na którym stosuje się szarą listę, oblicza wartość kontrolną (skrót) adresu nadawcy koperty, adresu odbiorcy koperty i adresu IP nadawczego agenta MTA. Jeśli serwer nie może znaleźć w 6 swojej bazie danych wartości kontrolnej trzech wspomnianych adresów, odmawia przyjęcia wiadomości, zwracając kod tymczasowego niepowodzenia (np. tymczasowe niepowodzenie 451). Wiarygodny serwer podejmie próbę ponownego przesłania wiadomości po upływie pewnego okresu o zmiennej długości. Przy drugiej próbie wartość kontrolna trójki adresów zostanie zapisana w bazie danych zweryfikowanych połączeń, dzięki czemu od tej pory każda wiadomość e-mail o analogicznej charakterystyce zostanie dostarczona. 1.4.3 Stosowanie reguł zdefiniowanych przez użytkownika Ochrona oparta na regułach zdefiniowanych przez użytkownika jest dostępna zarówno w przypadku skanowania za pomocą interfejsu VSAPI, jak i skanowania za pomocą agenta transportu. Interfejs użytkownika programu ESET Mail Security pozwala tworzyć osobne reguły, które można również łączyć. Jeśli jedna reguła zawiera wiele warunków, zostają one połączone za pomocą operatora logicznego AND. W wyniku tego reguła jest wykonywana tylko po spełnieniu wszystkich jej warunków. W przypadku utworzenia wielu reguł zostanie zastosowany operator logiczny OR. Oznacza to, że program będzie uruchamiać pierwszą regułę, której wszystkie warunki zostały spełnione. W sekwencji skanowania pierwszą używaną techniką jest szara lista (jeśli została włączona). Kolejne procedury będą zawsze wykonywać następujące techniki: ochrona oparta na regułach zdefiniowanych przez użytkownika, skanowanie w poszukiwaniu wirusów oraz, na końcu, skanowanie pod kątem spamu. 1.5 Interfej s użytkownika W programie ESET Mail Security zastosowano graficzny interfejs użytkownika (ang. graphical user interface, GUI), który ma zapewniać maksymalnie intuicyjną obsługę. Interfejs GUI pozwala użytkownikom na szybki i łatwy dostęp do głównych funkcji programu. Oprócz głównego interfejsu GUI dostępne jest też drzewo ustawień zaawansowanych, które można wyświetlić w każdej chwili, naciskając klawisz F5. Po naciśnięciu klawisza F5 zostaje wyświetlone okno drzewa ustawień zaawansowanych z listą funkcji programu, które można konfigurować. W oknie tym można dostosować opcje i ustawienia do indywidualnych potrzeb. Struktura drzewa dzieli się na dwie części: Ochrona serwera i Ochrona komputera. W części Ochrona serwera znajdują się elementy dotyczące ustawień programu ESET Mail Security związanych z zabezpieczaniem serwera Microsoft Exchange. Część Ochrona komputera zawiera z kolei możliwe do konfigurowania elementy dotyczące ochrony samego serwera. 7 2. Instalacj a Po zakupie produktu ESET Mail Security można pobrać pakiet MSI instalatora z witryny internetowej firmy ESET ( www.eset.pl). Należy pamiętać, że instalator należy uruchomić przy użyciu wbudowanego konta administratora. Inni użytkownicy, nawet jeśli należą do grupy Administratorzy, nie mają wystarczających uprawnień dostępu. Z tego powodu należy użyć wbudowanego konta administratora — pomyślne ukończenie instalacji nie będzie możliwe przy użyciu żadnego konta innego niż Administrator. Instalator można uruchomić na dwa sposoby: Można zalogować się lokalnie przy użyciu konta Administrator i uruchomić instalator w zwykły sposób. Można zalogować się jako inny użytkownik, otworzyć wiersz polecenia przy użyciu opcji Uruchom j ako... i wpisać poświadczenia konta Administrator, aby uruchomić wiersz polecenia (program cmd) jako administrator, a następnie wpisać polecenie uruchamiające instalator (np. msiexec /i emsx_nt64_ENU.msi zastępując nazwę emsx_nt64_ENU.msi dokładną nazwą pobranego pliku instalatora msi). Po uruchomieniu programu instalacyjnego kreator instalacji poprowadzi użytkownika przez podstawowe czynności konfiguracyjne. Można wybrać jeden z dwóch typów instalacji o odmiennym poziomie szczegółowości konfiguracji: 1. Typowa instalacj a 2. Instalacj a zaawansowana UWAGA: Jeśli to możliwe, zdecydowanie zaleca się instalowanie programu ESET Mail Security w niedawno zainstalowanym i skonfigurowanym systemie operacyjnym. Jeśli jednak użytkownik musi zainstalować program w już używanym systemie, najlepszym rozwiązaniem jest odinstalowanie wcześniejszej wersji produktu ESET Mail Security, ponowne uruchomienie serwera oraz zainstalowanie nowej wersji programu ESET Mail Security. 2.1 Typowa instalacj a Tryb typowej instalacji pozwala na szybkie zainstalowanie programu ESET Mail Security, wymagające skonfigurowania minimalnej liczby parametrów. Typowa instalacja jest domyślnym trybem instalacji i zaleca się ją w przypadku, gdy użytkownik nie ma jeszcze sprecyzowanych wymagań dotyczących poszczególnych ustawień. Po zainstalowaniu programu ESET Mail Security można w każdej chwili zmodyfikować jego opcje i ustawienia konfiguracji. Omówiono je zresztą szczegółowo w niniejszym podręczniku użytkownika. Ustawienia trybu typowej instalacji zapewniają znakomite bezpieczeństwo połączone z łatwością obsługi i dużą wydajnością systemu. Po wybraniu tego trybu instalacji i kliknięciu przycisku Dalej pojawi się monit o wprowadzenie nazwy użytkownika i hasła. Odgrywają one ważną rolę w zapewnianiu stałej ochrony systemu, ponieważ umożliwiają automatyczne przeprowadzanie aktualizacji 83 bazy sygnatur wirusów. 8 W odpowiednich polach należy wprowadzić nazwę użytkownika i hasło otrzymane po zakupie lub zarejestrowaniu produktu. W przypadku chwilowego braku dostępu do nazwy użytkownika i hasła można je wpisać później bezpośrednio w zainstalowanym programie. W następnym kroku — Menedżer licencj i — należy dodać plik licencji dostarczony pocztą e-mail po zakupie produktu. Kolejną czynnością jest skonfigurowanie systemu monitorowania zagrożeń ThreatSense.Net. Pomaga on zapewnić natychmiastowe i ciągłe informowanie firmy ESET o nowych próbach ataków, tak aby mogła ona szybko reagować i chronić swoich klientów. System ten umożliwia zgłaszanie nowych zagrożeń do laboratorium firmy ESET, gdzie są one analizowane, przetwarzane i dodawane do bazy sygnatur wirusów. Pole wyboru Włącz system monitorowania zagrożeń ThreatSense.Net jest domyślnie zaznaczone. Aby zmodyfikować szczegółowe ustawienia dotyczące przesyłania podejrzanych plików, należy kliknąć przycisk Ustawienia zaawansowane... Następnym etapem procesu instalacji jest skonfigurowanie opcji Wykrywanie potencj alnie niepożądanych aplikacj i. Potencjalnie niepożądane aplikacje nie są z założenia tworzone w złych intencjach, ale mogą negatywnie wpływać na działanie systemu operacyjnego. Szczegółowe informacje znajdują się w rozdziale Potencjalnie niepożądane aplikacje 139 . Aplikacje te są często dołączane do innych programów i mogą być trudne do zauważenia podczas instalacji. W trakcie instalacji tych aplikacji zazwyczaj wyświetlane jest powiadomienie, jednak mogą one zostać łatwo zainstalowane bez zgody użytkownika. Należy wybrać opcję Włącz wykrywanie potencj alnie niepożądanych aplikacj i, aby program ESET Mail Security wykrywał tego typu aplikacje. Aby nie korzystać z tej funkcji, należy wybrać opcję Wyłącz wykrywanie potencj alnie niepożądanych aplikacj i. Ostatnią czynnością wykonywaną w trybie typowej instalacji jest potwierdzenie instalacji przez kliknięcie przycisku Instaluj . 2.2 Instalacj a zaawansowana Instalacja zaawansowana jest przeznaczona dla doświadczonych użytkowników, którzy chcą skonfigurować program ESET Mail Security podczas instalacji. Po wybraniu trybu instalacji i kliknięciu przycisku Dalej pojawi się monit o wskazanie docelowego miejsca instalacji. Domyślnie program jest instalowany w katalogu C:\Program Files\ESET\ESET Mail Security. Aby zmienić tę lokalizację (niezalecane), należy kliknąć przycisk Przeglądaj … Następnie należy wprowadzić swoją nazwę użytkownika i hasło. Czynność ta jest identyczna z występującą w trybie typowej instalacji (patrz część „Typowa instalacja” 8 ). W następnym kroku — Menedżer licencj i — należy dodać plik licencji dostarczony pocztą e-mail po zakupie produktu. 9 Po wprowadzeniu nazwy użytkownika i hasła należy kliknąć przycisk Dalej , aby przejść do okna Konfiguruj połączenie internetowe. W przypadku korzystania z serwera proxy należy go prawidłowo skonfigurować, aby można było przeprowadzać aktualizacje sygnatur wirusów. Aby automatycznie skonfigurować serwer proxy, należy wybrać ustawienie domyślne Nie wiem, czy podczas łączenia z Internetem używany j est serwer proxy. Użyj ustawień z programu Internet Explorer (Zalecane) i kliknąć przycisk Dalej . Jeśli serwer proxy nie jest używany, należy wybrać ustawienie Nie korzystam z serwera proxy. Aby samodzielnie wprowadzić parametry serwera proxy, można ręcznie skonfigurować jego ustawienia. W tym celu należy wybrać ustawienie Korzystam z serwera proxy i kliknąć przycisk Dalej . W polu Adres należy wprowadzić adres IP lub URL serwera proxy. W polu Port należy wprowadzić numer portu, na którym serwer proxy przyjmuje połączenia (domyślnie 3128). W przypadku gdy serwer proxy wymaga uwierzytelniania, należy w polach Nazwa użytkownika i Hasło wprowadzić prawidłowe dane umożliwiające uzyskanie dostępu do serwera. Ustawienia serwera proxy można również skopiować z programu Internet Explorer. Po wprowadzeniu parametrów serwera proxy należy kliknąć przycisk Zastosuj i potwierdzić wybór. Należy kliknąć przycisk Dalej , aby przejść do okna Konfiguruj ustawienia automatycznej aktualizacj i. W tym kroku można określić sposób przeprowadzania w systemie automatycznych aktualizacji komponentów programu. Aby uzyskać dostęp do ustawień zaawansowanych, należy kliknąć przycisk Zmień.... Jeśli komponenty programu nie mają być aktualizowane, należy wybrać ustawienie Nigdy nie aktualizuj komponentów programu. Aby przed pobieraniem komponentów programu pojawiało się okno potwierdzenia, należy wybrać ustawienie Pytaj przed pobraniem komponentów programu. Aby pobieranie uaktualnień 10 komponentów programu odbywało się automatycznie, należy wybrać ustawienie Zawsze aktualizuj komponenty programu. UWAGA: Po zaktualizowaniu komponentów programu wymagane jest zazwyczaj ponowne uruchomienie komputera. Zalecane jest wybranie ustawienia Nigdy nie uruchamiaj ponownie komputera. Najnowsze aktualizacje komponentów staną się aktywne po najbliższym ponownym uruchomieniu serwera (zaplanowanym 94 , ręcznym lub jakimkolwiek innym). Aby po zaktualizowaniu komponentów pojawiało się przypomnienie o konieczności ponownego uruchomienia serwera, należy wybrać ustawienie W razie potrzeby zaoferuj ponowne uruchomienie komputera. Pozwala ono od razu uruchomić ponownie serwer lub odłożyć tę czynność na później. W następnym oknie instalacji można ustawić hasło służące do ochrony ustawień programu. W tym celu należy wybrać ustawienie Zabezpiecz ustawienia konfiguracyj ne hasłem, a następnie wprowadzić hasło w polach Nowe hasło i Potwierdź nowe hasło. Dwa kolejne punkty instalacji, System monitorowania zagrożeń ThreatSense.Net i Wykrywanie potencj alnie niepożądanych aplikacj i, są identyczne z występującymi w trybie typowej instalacji (patrz część „Typowa instalacja” 8 ). Aby zakończyć instalację, należy kliknąć przycisk Instaluj w oknie Gotowy do instalacj i. 2.3 Serwer terminali W przypadku zainstalowania programu ESET Mail Security w systemie Windows Server pełniącym rolę serwera terminali warto wyłączyć interfejs GUI programu ESET Mail Security, aby zapobiec uruchamianiu się go przy każdym logowaniu użytkownika. Szczegółowe instrukcje wyłączenia go można znaleźć w rozdziale Wyłączanie interfejsu GUI na serwerze terminali 124 . 11 2.4 Uaktualnianie do nowszej wersj i Nowsze wersje programu ESET Mail Security publikuje się w celu wprowadzania w nim poprawek lub udoskonaleń, których nie można wdrożyć w ramach automatycznych aktualizacji poszczególnych modułów. Uaktualnienie programu ESET Mail Security do najnowszej wersji można przeprowadzić na jeden z kilku sposobów: 1. Automatyczne uaktualnienie za pomocą aktualizacji komponentów programu Ponieważ aktualizacje komponentów programu są rozsyłane do wszystkich użytkowników i mogą mieć wpływ na pewne konfiguracje systemu, publikuje się je po długim okresie testów, aby mieć pewność, że proces uaktualnienia przebiegnie bez zakłóceń w przypadku wszystkich możliwych konfiguracji systemu. 2. Ręcznie, na przykład jeśli zachodzi potrzeba uaktualnienia programu do nowszej wersji natychmiast po jej udostępnieniu albo uaktualnienia do nowej generacji programu ESET Mail Security (np. z wersji 4.2 lub 4.3 do wersji 4.5). Uaktualnienie do nowszej wersji można przeprowadzić ręcznie na dwa sposoby — instalując najnowszą wersję bez usuwania aktualnej wersji lub przeprowadzając instalację od nowa (wcześniejsza wersja zostaje najpierw odinstalowana, a następnie instalowana jest najnowsza wersja). Aby przeprowadzić uaktualnienie ręcznie: 1. Uaktualnienie bez odinstalowania: Zainstaluj najnowszą wersję bez odinstalowywania istniejącej wersji ESET Mail Security, wykonując procedurę opisaną w rozdziale Instalacja 8 . Wszystkie istniejące ustawienia (w tym ustawienia ochrony przed spamem) zostaną automatycznie zaimportowane do nowszej wersji podczas instalacji. 2. Instalacja od nowa: a) Wyeksportuj konfigurację/ustawienia do pliku xml, używając funkcji Import i eksport ustawień 131. b) Otwórz ten plik xml w odpowiednim edytorze plików xml lub edytorze tekstu obsługującym pliki xml (np. WordPad, Nodepad++ itp.), a następnie w trzecim wierszu zmień numer SECTION ID na 1000404 aby tekst wyglądał następująco: <SECTION ID="1000404"> c) Pobierz narzędzie EMSX AntispamSettingsExport z tego artykułu bazy wiedzy. Zapisz plik EMSX_AntispamSettingsExport.exe na serwerze Exchange Server, dla którego przeprowadzane jest uaktualnienie ESET Mail Security do najnowszej wersji. d) Uruchom narzędzie EMSX_AntispamSettingsExport.exe. Narzędzie utworzy plik cfg.xml z ustawieniami ochrony przed spamem z istniejącej instalacji produktu ESET Mail Security. e) Pobierz plik instalatora msi najnowszej wersji ESET Mail Security. f) Skopiuj plik cfg.xml utworzony przez narzędzie EMSX AntispamSettingsExport do tej samej lokalizacji, w której zapisano plik instalatora msi ESET Mail Security (np. emsx_nt64_ENU.msi). g) Odinstaluj istniejącą wersję programu ESET Mail Security. h) Uruchom plik msi instalatora programu ESET Mail Security 4.5. Ustawienia ochrony przed spamem wyeksportowane do pliku cfg.xml zostaną automatycznie zaimportowane do nowej wersji. i) Po ukończeniu instalacji zaimportuj konfigurację/ustawienia z pliku xml zapisanego i zmodyfikowanego w krokach a) i b) za pomocą opcji Import i eksport ustawień 131 oraz edytora plików xml w celu umożliwienia użycia wcześniejszych ustawień konfiguracji w nowej wersji programu ESET Mail Security. Po wykonaniu powyższych kroków w systemie będzie zainstalowana nowa wersja produktu ESET Mail Security z zachowaniem poprzedniej konfiguracji niestandardowej. Więcej informacji na temat procedury uaktualniania można znaleźć w tym artykule bazy wiedzy. UWAGA: Obie ręczne procedury uaktualniania (bez odinstalowania i instalacja od nowa) odnoszą się wyłącznie do uaktualnienia programu ESET Mail Security z wersji 4.2 lub 4.3 do programu ESET Mail Security w wersji 4.5. 12 2.5 Role serwera Exchange — granica a centrum Domyślnie funkcje modułu antyspamowego są włączone na serwerze transportu granicznego, a wyłączone na serwerze transportu centralnego. Jest to odpowiednia konfiguracja w organizacji Exchange z serwerem transportu granicznego. Zalecamy skonfigurowanie ochrony przed spamem na serwerze transportu granicznego z uruchomionym programem ESET Mail Security w taki sposób, aby wiadomości były filtrowane przed przekierowaniem do organizacji Exchange. Rola Granica jest jednak preferowanym miejscem do skanowania modułem antyspamowym, ponieważ pozwala produktowi ESET Mail Security na odrzucanie spamu we wczesnej fazie procesu bez niepotrzebnego obciążania warstw sieci. Dzięki zastosowaniu tej konfiguracji wiadomości przychodzące są filtrowane przez program ESET Mail Security na serwerze transportu granicznego, dzięki czemu mogą zostać bezpiecznie przeniesione na serwer transportu centralnego bez konieczności ich dalszego filtrowania. Jeśli w organizacji nie używa się serwera transportu granicznego, a jedynie serwer transportu centralnego, zalecamy włączenie funkcji ochrony przed spamem na serwerze transportu centralnego, który odbiera wiadomości przychodzące z Internetu za pomocą protokołu SMTP. 2.6 Role programu Exchange Server 2013 Architektura oprogramowania Exchange Server 2013 różni się od wcześniejszych wersji Microsoft Exchange. W oprogramowaniu Exchange 2013 istnieją tylko dwie role serwerów — serwer dostępu klienta i serwer skrzynek pocztowych. Jeśli oprogramowanie Microsoft Exchange 2013 ma być chronione przy użyciu programu ESET Mail Security, należy upewnić się, że program ESET Mail Security jest zainstalowany w systemie z działającym programem Microsoft Exchange 2013 z rolą serwera skrzynek pocztowych. Rola serwera dostępu klienta nie jest obsługiwana przez program ESET Mail Security. Wyjątek stanowi sytuacja, gdy program ESET Mail Security ma być zainstalowany w systemie Windows SBS (Small Business Server). W systemie Windows SBS wszystkie role programu Exchange są uruchomione na tym samym serwerze, w związku z czym program ESET Mail Security będzie działać bez przeszkód, zapewniając wszelkiego rodzaju ochronę, włącznie z ochroną serwera poczty e-mail. Jednak w przypadku zainstalowania programu ESET Mail Security w systemie pełniącym wyłącznie rolę serwera dostępu klienta (dedykowany serwer CAS) najważniejsze funkcje programu ESET Mail Security, a w szczególności funkcje związane z serwerem poczty e-mail, nie będą działać. W takim przypadku działać będzie jedynie ochrona systemu plików w czasie rzeczywistym oraz niektóre komponenty Ochrony komputera 61 , zatem serwer poczty email w ogóle nie będzie chroniony. Właśnie z tego powodu nie zalecamy instalowania programu ESET Mail Security na serwerze pełniącym rolę serwera dostępu klienta. Jak wspomniano powyżej, nie dotyczy to systemu Windows SBS (Small Business Server). UWAGA: Z uwagi na określone ograniczenia techniczne oprogramowania Microsoft Exchange 2013 program ESET Mail Security nie obsługuje roli serwera dostępu klienta. 2.7 Instalowanie w środowisku klastrowym Klaster to grupa serwerów (serwer podłączony do klastra jest nazywany węzłem), które pracują razem jako jeden serwer. Środowisko tego typu zapewnia wysoką dostępność oraz niezawodność dostępnych usług. W razie awarii lub niedostępności jednego z węzłów w klastrze jego działanie jest automatycznie przejmowane przez inny węzeł z tego samego klastra. Program ESET Mail Security w pełni obsługuje serwery Microsoft Exchange połączone w klaster. Warunkiem poprawnego działania programu ESET Mail Security jest skonfigurowanie wszystkich węzłów klastra w taki sam sposób. W tym celu można zastosować politykę za pomocą narzędzia ESET Remote Administrator (ERA). W kolejnych rozdziałach opisano sposób instalowania i konfigurowania programu ESET Mail Security na serwerach w środowisku klastrowym za pomocą narzędzia ERA. Instalacj a W tym rozdziale wyjaśniono działanie metody instalacji wypychanej. Nie jest to jednak jedyny sposób instalowania produktu na komputerze docelowym. Informacje na temat innych metod instalacji można znaleźć w Podręczniku użytkownika programu ESET Remote Administrator. 1) Pobierz pakiet instalacyjny msi produktu ESET Mail Security z witryny firmy ESET na komputer, na którym 13 zainstalowano narzędzie ERA. W narzędziu ERA wybierz kartę Instalacj a zdalna, kliknij opcję Komputery, a następnie kliknij prawym przyciskiem myszy komputer na liście i wybierz z menu kontekstowego polecenie Zarządzanie pakietami. Z menu rozwijanego Typ wybierz polecenie Pakiet produktów zabezpieczeń ESET i kliknij przycisk Dodaj Znajdź pobrany pakiet instalacyjny programu ESET Mail Security w polu Źródło, a następnie kliknij opcję Utwórz. 2) W obszarze Edycj a/wybieranie konfiguracj i skoj arzonej z pakietem kliknij polecenie Edytuj i skonfiguruj ustawienia programu ESET Mail Security zgodnie ze swoimi potrzebami. Ustawienia programu ESET Mail Security są dostępne w następujących gałęziach: ESET Smart Security, ESET NOD32 Antivirus > Ochrona serwera poczty e-mail oraz Ochrona serwera poczty e-mail Microsoft Exchange Server. Można również ustawić parametry innych modułów programu ESET Mail Security (np. modułu aktualizacji, skanowania komputera itd.). Zaleca się wyeksportowanie skonfigurowanych ustawień do pliku XML w celu jego późniejszego użycia, na przykład podczas tworzenia pakietu instalacyjnego, stosowania zadania konfiguracyjnego lub polityki. 3) Kliknij opcję Zamknij . W kolejnym oknie dialogowym (Czy chcesz zapisać pakiety na serwerze?) wybierz opcję Tak i wpisz nazwę pakietu instalacyjnego. Ukończony pakiet instalacyjny (łącznie z nazwą oraz konfiguracją) zostanie zapisany na serwerze. Pakiet ten jest najczęściej używany na potrzeby instalacji wypychanej, ale można go również zapisać jako standardowy pakiet instalacyjny msi i używać do instalacji bezpośredniej na serwerze (wybierając kolejno opcje Edytor pakietów instalacyj nych > Zapisz j ako). 4) Gdy pakiet instalacyjny jest gotowy, można rozpocząć instalację zdalną w węzłach klastra. W narzędziu ERA wybierz kartę Instalacj a zdalna, kliknij opcję Komputery i zaznacz węzły, na których ma zostać zainstalowany program ESET Mail Security (Ctrl + kliknięcie przyciskiem myszy lub Shift + kliknięcie przyciskiem myszy). Kliknij prawym przyciskiem myszy dowolny z zaznaczonych komputerów i wybierz z menu kontekstowego opcję Instalacj a wypychana. Używając przycisków Ustaw / Ustaw wszystko, ustaw Nazwę użytkownika i Hasło użytkownika komputera docelowego (musi on mieć uprawnienia administratora). Kliknij przycisk Dalej , aby wybrać pakiet instalacyjny, i rozpocznij proces instalacji zdalnej, klikając przycisk Zakończ. Pakiet instalacyjny zawierający program ESET Mail Security oraz niestandardowe ustawienia konfiguracyjne zostanie zainstalowany na wybranych komputerach docelowych/węzłach. Po krótkiej chwili komputery z produktem ESET Mail Security pojawią się na karcie Klienci narzędzia ERA. Od tej chwili można zdalnie zarządzać tymi klientami. UWAGA: Aby proces instalacji zdalnej przebiegł bezproblemowo, komputery docelowe oraz serwer z narzędziem ERA muszą spełniać określone warunki. Więcej informacji można znaleźć w Podręczniku użytkownika narzędzia ESET Remote Administrator. Konfiguracj a Aby program ESET Mail Security działał poprawnie na węzłach klastra, wszystkie węzły muszą być zawsze tak samo skonfigurowane. Warunek ten zostanie spełniony, jeśli użytkownik zastosuje opisaną powyżej metodę instalacji wypychanej. Istnieje jednak ryzyko omyłkowej zmiany konfiguracji, która może spowodować niespójności między produktami ESET Mail Security w jednym klastrze. Aby temu zapobiec, należy użyć polityki w narzędziu ERA. Polityka jest podobna do standardowego zadania konfiguracyjnego — wysyła ona do klientów konfigurację określoną w edytorze konfiguracji. Polityka różni się od zadania konfiguracyjnego tym, że jest ona stale stosowana w ramach klientów. W związku z tym politykę można nazwać konfiguracją, która jest regularnie wymuszana na klientach lub ich grupach. Po wybraniu w narzędziu ERA opcji Narzędzia > Menedżer polityk można uzyskać dostęp do wielu opcji stosowania polityki. Najprostsza w użyciu jest Domyślna polityka nadrzędna, która działa również jako Polityka domyślna dla klientów podstawowych. Polityka tego rodzaju jest automatycznie stosowana w odniesieniu do wszystkich podłączonych klientów (w tym wypadku do wszystkich produktów ESET Mail Security w klastrze). Politykę można skonfigurować, klikając opcję Edytuj lub używając konfiguracji zapisanej w pliku xml (jeśli został on wcześniej utworzony). Drugą możliwością jest utworzenie nowej polityki (Dodaj nową politykę podrzędną) i przypisanie do niej wszystkich produktów ESET Mail Security za pomocą opcji Dodaj klientów. Ta konfiguracja gwarantuje, że w odniesieniu do wszystkich klientów jest stosowana jedna polityka o tych samych ustawieniach. Aby zmodyfikować istniejące ustawienia serwera produktu ESET Mail Security w klastrze, wystarczy dokonać edycji aktualnej polityki. Zmiany zostaną zastosowane w odniesieniu do wszystkich klientów przypisanych do tej polityki. UWAGA: więcej informacji o politykach można znaleźć w Podręczniku użytkownika narzędzia ESET Remote Administrator. 14 2.8 Licencj a Wprowadzenie pliku licencji programu ESET Mail Security dla oprogramowania Microsoft Exchange Server jest bardzo ważnym krokiem. Bez niego ochrona poczty e-mail oprogramowania Microsoft Exchange Server nie będzie działać poprawnie. Jeśli plik licencji nie został dodany podczas instalacji, można zrobić to później w ustawieniach zaawansowanych, w obszarze Inne > Licencj e. Program ESET Mail Security pozwala używać jednocześnie wielu licencji. W tym celu licencje należy scalić w następujący sposób: 1) Scalane są co najmniej dwie licencje jednego klienta (tj. licencje przypisane do tego samego nazwiska klienta), a liczba skanowanych skrzynek pocztowych zostaje odpowiednio zwiększona. W menedżerze licencji nadal są wyświetlane obie licencje. 2) Scalane są co najmniej dwie licencje różnych klientów. Wykonywane są te same działania co w pierwszym przypadku (punkt 1 powyżej). Jedyną różnicą jest to, że co najmniej jedna z licencji musi mieć atrybut specjalny. Atrybut ten jest wymagany do scalenia licencji różnych klientów. Aby użyć takiej licencji, należy wystąpić do lokalnego dystrybutora o jej wygenerowanie. UWAGA: Okres ważności nowo utworzonej licencji jest wyznaczany przez najwcześniejszą datę wygaśnięcia jej składników. Produkt ESET Mail Security dla oprogramowania Microsoft Exchange Server (EMSX) porównuje liczbę skrzynek pocztowych w usłudze Active Directory z liczbą licencji posiadanych przez użytkownika. W celu ustalenia całkowitej liczby skrzynek pocztowych sprawdzana jest każda usługa Active Directory serwera Exchange. W całkowitej liczbie skrzynek pocztowych nie są uwzględniane systemowe skrzynki pocztowe, zdezaktywowane skrzynki pocztowe ani aliasy adresów e-mail. W środowisku klastrowym w całkowitej liczbie skrzynek pocztowych nie są uwzględniane węzły z rolą klastrowej skrzynki pocztowej. Aby poznać liczbę skrzynek pocztowych działających w oprogramowaniu Exchange, należy otworzyć na serwerze narzędzie Użytkownicy i komputery usługi Active Directory. Następnie należy kliknąć prawym przyciskiem myszy domenę i wybrać polecenie Znaj dź. Z menu rozwijanego Znaj dź należy wybrać opcję Wyszukiwanie niestandardowe i kliknąć kartę Zaawansowane. Następnie należy wkleić następujące zapytanie protokołu LDAP (Lightweight Directory Access Protocol) i kliknąć polecenie Znaj dź teraz: (&(objectClass=user)(objectCategory=person)(mailNickname=*)(|(homeMDB=*)(msExchHomeServerName=*))(! (name=SystemMailbox{*))(!(name=CAS_{*))(msExchUserAccountControl=0)(! userAccountControl:1.2.840.113556.1.4.803:=2)) 15 Jeśli liczba skrzynek pocztowych w usłudze Active Directory przekroczy liczbę licencji, w dzienniku oprogramowania Microsoft Exchange Server zostanie umieszczony komunikat „Stan ochrony został zmieniony, ponieważ przekroczono dopuszczalną liczbę skrzynek pocztowych (liczba) objętych licencją (liczba)”. Użytkownik zostanie o tym również powiadomiony przez program ESET Mail Security — Stan ochrony zmieni kolor na pomarańczowy i zostanie wyświetlony komunikat z informacją, że ochrona zostanie wyłączona za 42 dni. W wypadku wyświetlenia takiego powiadomienia należy skontaktować się ze sprzedawcą w celu zakupienia dodatkowych licencji. Jeśli użytkownik nie doda wymaganych licencji dla dodatkowych skrzynek pocztowych przed upływem 42 dni, Stan ochrony zmieni kolor na czerwony. Zostanie również wyświetlony komunikat o wyłączeniu ochrony. W przypadku wyświetlenia takiego powiadomienia należy natychmiast skontaktować się ze sprzedawcą i zakupić dodatkowe licencje. 16 2.9 Konfiguracj a po instalacj i Po zainstalowaniu produktu należy skonfigurować kilka opcji. Ustawienia ochrony przed spamem W tej sekcji opisano ustawienia, metody i techniki, za pomocą których można chronić swoją sieć przed spamem. Zaleca się, aby przed wybraniem najkorzystniejszego dla sieci połączenia ustawień uważnie przeczytać poniższe instrukcje. Zarządzanie spamem Aby zagwarantować wysoki poziom ochrony przed spamem, należy wybrać czynności, którym będą poddawane wiadomości oznaczone jako SPAM. Dostępne są trzy opcje: 1. Usuwanie spamu Kryteria, które musi spełniać wiadomość, aby program ESET Mail Security uznał ją za SPAM, są dość wyśrubowane. Pozwala to zmniejszyć ryzyko usunięcia poprawnych wiadomości e-mail. Im bardziej konkretne są ustawienia ochrony przed spamem, tym mniejsze prawdopodobieństwo usunięcia poprawnych wiadomości e-mail. Zaletami tej metody są mniejsze zużycie zasobów systemowych oraz mniejsza potrzeba administracji. Jej wadą jest niemożność lokalnego przywrócenia poprawnej wiadomości e-mail w razie jej usunięcia. 2. Kwarantanna Ta opcja likwiduje ryzyko usunięcia niegroźnej wiadomości e-mail. Wiadomości można natychmiast przywracać i ponownie wysyłać do oryginalnych odbiorców. Wadą tej metody jest większe zużycie zasobów systemowych oraz konieczność poświęcenia dodatkowego czasu na prowadzenie kwarantanny wiadomości e-mail. Wiadomości e-mail można przekazywać do kwarantanny za pomocą dwóch metod: A. Wewnętrzna kwarantanna oprogramowania Exchange Server (dostępna tylko w wersjach Microsoft Exchange Server 2007/2010): – Aby skorzystać z wewnętrznej kwarantanny serwera, należy sprawdzić, czy pole Wspólna kwarantanna wiadomości w prawym okienku menu ustawień zaawansowanych (dostępne po kliknięciu kolejno opcji Ochrona serwera > Kwarantanna wiadomości) jest puste. Należy też upewnić się, że w dostępnym na dole menu rozwijanym wybrano opcję Przenieś wiadomość do kwarantanny systemu serwera pocztowego. Ta metoda działa tylko w przypadku, gdy istnieje wewnętrzna kwarantanna oprogramowania Exchange. Domyślnie, wewnętrzna kwarantanna nie jest aktywowana w oprogramowaniu Exchange. Aby ją aktywować, należy otworzyć powłokę zarządzania serwerem Exchange i wpisać następujące polecenie: Set-ContentFilterConfig -QuarantineMailbox [email protected] (zapis [email protected] należy zastąpić adresem skrzynki pocztowej, której oprogramowanie Microsoft Exchange ma używać jako skrzynki pocztowej wewnętrznej kwarantanny, na przykład [email protected]). B. Niestandardowa skrzynka pocztowa kwarantanny: – Po wpisaniu żądanej skrzynki pocztowej w polu Wspólna kwarantanna wiadomości program ESET Mail Security będzie przenosić wszystkie nowe wiadomości spamu do tej niestandardowej skrzynki pocztowej. Więcej informacji na temat kwarantanny oraz różnych metod postępowania można znaleźć w rozdziale Kwarantanna wiadomości 26 . 3. Przekazywanie spamu Spam zostanie przekazany do odbiorcy. Program ESET Mail Security uzupełni jednak odpowiedni nagłówek MIME każdej wiadomości wartością SCL. Inteligentny filtr wiadomości (IMF) serwera Exchange podejmie na podstawie wartości SCL decyzję o wykonaniu odpowiedniej czynności. Filtrowanie spamu 17 Szara lista Szara lista chroni użytkowników przed spamem za pomocą następującej techniki: Agent transportu wysyła zwracaną wartość serwera SMTP „tymczasowo odrzucono” (wartość domyślna to 451/4.7.1) w odpowiedzi na każdą wiadomość e-mail od nadawcy, którego nie rozpoznaje. Serwer wysyłający autentyczne wiadomości próbuje ponownie dostarczyć wiadomość. Spamerzy zazwyczaj nie próbują ponownie dostarczać wiadomości, ponieważ jednocześnie wysyłają je na tysiące adresów i nie mogą poświęcać dodatkowego czasu na ponowne dostarczanie. Podczas oceniania źródła wiadomości metoda sprawdza konfigurację list Zatwierdzone adresy IP, Ignorowane adresy IP, Bezpieczni nadawcy i Dozwolone adresy IP serwera Exchange oraz ustawienia AntispamBypass skrzynki pocztowej odbiorcy. Szarą listę należy starannie skonfigurować, w przeciwnym razie mogą występować niechciane usterki w działaniu (np. opóźnienia w dostarczaniu pożądanych wiadomości itp.). Liczba takich efektów ubocznych maleje w miarę, jak działająca funkcja dodaje do wewnętrznej białej listy zaufane połączenia. Użytkownikom nieznającym tej metody lub niechcącym jej używać ze względu na skutki uboczne zaleca się wyłączenie jej w menu Ustawienia zaawansowane. Aby to zrobić, należy kliknąć kolejno opcje Ochrona przed spamem > Microsoft Exchange Server > Agent transportu > Włącz szarą listę. Szarą listę należy również wyłączyć, jeśli celem użytkownika jest testowanie podstawowych funkcji programu, a nie konfigurowanie jego zaawansowanych ustawień. UWAGA: Szara lista to dodatkowy sposób ochrony przed spamem. Nie wpływa ona w żaden sposób na metodę oceniania spamu przez moduł ochrony przed spamem. Ustawienia ochrony antywirusowej Kwarantanna Zależnie od używanego trybu leczenia zaleca się skonfigurowanie czynności wykonywanej względem zarażonych (niewyleczonych) wiadomości. Tę opcję można ustawić w oknie Ustawienia zaawansowane po wybraniu opcji Ochrona serwera > Antywirus i antyspyware > Microsoft Exchange Server > Agent transportu. Po włączeniu opcji przenoszenia wiadomości do kwarantanny wiadomości e-mail należy skonfigurować kwarantannę, wybierając w oknie Ustawienia zaawansowane opcje Ochrona serwera> Kwarantanna wiadomości. Wydaj ność W przypadku braku innych ograniczeń zaleca się zwiększenie liczby aparatów skanowania technologii ThreatSense w oknie Ustawienia zaawansowane (F5). Aby to zrobić, należy wybrać kolejno opcje Ochrona komputera > Antywirus i antyspyware > Wydaj ność i skorzystać z następującego wzoru: liczba aparatów skanowania technologii ThreatSense = (liczba fizycznych procesorów x 2) + 1. Liczba wątków skanowania powinna być taka sama jak liczba aparatów skanowania technologii ThreatSense. Liczbę wątków skanowania można skonfigurować po wybraniu kolejno opcji Ochrona serwera > Antywirus i antyspyware > Microsoft Exchange Server > VSAPI > Wydaj ność. Oto przykład: Załóżmy, że jest używany serwer z 4 procesorami. Zgodnie z powyższym wzorem do uzyskania najwyższej wydajności wymaganych jest 9 wątków skanowania oraz 9 aparatów skanowania. UWAGA: Przyjmowane są wartości z zakresu od 1 do 20, można więc użyć najwyżej 20 aparatów skanowania technologii ThreatSense. Zmiana zostanie wprowadzona dopiero po ponownym uruchomieniu. UWAGA: Zaleca się ustawienie jednakowej liczby wątków skanowania i używanych aparatów skanowania technologii ThreatSense. Jeśli liczba używanych wątków skanowania przekroczy liczbę aparatów skanowania, nie wpłynie to w żaden sposób na wydajność. UWAGA: jeśli program ESET Mail Security działa w systemie Windows Server, który pełni rolę serwera terminali, a użytkownik nie chce, aby interfejs GUI programu ESET Mail Security był uruchamiany po każdym zalogowaniu, należy zapoznać się z treścią rozdziału Wyłączanie interfejsu GUI na serwerze terminali 124 . 18 3. ESET Mail Security — ochrona serwera Microsoft Exchange Server Program ESET Mail Security zapewnia wysoki poziom ochrony serwera Microsoft Exchange Server. Istnieją trzy podstawowe rodzaje ochrony: antywirusowa, przed spamem oraz stosowanie reguł zdefiniowanych przed użytkownika. Program ESET Mail Security chroni przed różnego rodzaju szkodliwym oprogramowaniem, takim jak załączniki do wiadomości e-mail zarażone robakami lub końmi trojańskimi, dokumenty zawierające szkodliwe skrypty, ataki typu „phishing” czy spam. Program ESET Mail Security filtruje szkodliwą zawartość na poziomie serwera poczty, zanim dotrze ona do skrzynki odbiorczej programu poczty e-mail odbiorcy. W kolejnych rozdziałach opisano wszystkie opcje oraz ustawienia umożliwiające dostosowywanie ustawień ochrony serwera Microsoft Exchange Server. 3.1 Ustawienia ogólne W tej sekcji opisano sposób administrowania regułami, plikami dziennika, kwarantanną wiadomości oraz parametrami wydajności. 3.1.1 Microsoft Exchange Server 3.1.1.1 VSAPI (Virus-Scanning Application Programming Interface) Platforma Microsoft Exchange Server udostępnia mechanizm gwarantujący, że każdy komponent wiadomości jest skanowany przy użyciu zaktualizowanej bazy sygnatur wirusów. Jeśli dany komponent wiadomości nie był skanowany, zostaje przesyłany do skanera przed wysłaniem wiadomości do klienta. Każda obsługiwana wersja platformy Microsoft Exchange Server (2000/2003/2007/2010) udostępnia inną wersję interfejsu VSAPI. Pole wyboru umożliwia włączenie lub wyłączenie automatycznego uruchamiania wersji interfejsu VSAPI używanej przez dany serwer Exchange. 19 3.1.1.2 Agent transportu W tej sekcji można skonfigurować automatyczne uruchamianie agenta transportu oraz ustawić priorytet jego ładowania. W przypadku oprogramowania Microsoft Exchange Server 2007 i jego nowszych wersji agenta transportu można zainstalować tylko w sytuacji, gdy serwer działa w jednej z następujących ról: Transport graniczny lub Transport centralny. UWAGA: Agent transportu jest niedostępny w oprogramowaniu Microsoft Exchange Server 5.5 (VSAPI 1.0). Priorytet agentów programu ESET Mail Security można ustawić w menu Ustawienia priorytetu agenta. Zakres numerów priorytetu agenta zależy od wersji oprogramowania Microsoft Exchange Server (im niższy numer, tym wyższy priorytet). Zapisuj poziom ufności filtrów spamu (SCL) w nagłówkach zeskanowanych wiadomości na podstawie wyniku spamu — SCL to przypisywana do wiadomości znormalizowana wartość, która wskazuje prawdopodobieństwo tego, że wiadomość jest spamem (na podstawie charakterystyki nagłówka wiadomości, jej tematu, treści itp.). Ocena 0 wskazuje, że wiadomość niemal na pewno nie jest spamem, a ocena 9 wskazuje, że wiadomość najprawdopodobniej jest spamem. Wartości SCL mogą być dalej przetwarzane przez inteligentny filtr wiadomości (lub agenta filtru zawartości) oprogramowania Microsoft Exchange Server. Więcej informacji można znaleźć w dokumentacji oprogramowania Microsoft Exchange Server. 20 Opcja Podczas usuwania wiadomości wysyłaj odpowiedź o odrzuceniu przez usługę SMTP: Jeśli opcja nie jest zaznaczona, serwer SMTP wysyła do agenta MTA (Mail Transfer Agent) nadawcy odpowiedź SMTP OK w formacie „250 2.5.0 — Requested mail action okay, completed” (Wykonano i zakończono żądaną czynność dotyczącą poczty), a następnie przechodzi do trybu cichego. Jeśli opcja jest zaznaczona, do agenta MTA nadawcy wysyłana jest odpowiedź o odrzuceniu przez serwer SMTP. Treść odpowiedzi można wpisać w następującym formacie: Podstawowy kod odpowiedzi 250 Uzupełniający kod stanu Opis 2.5.0 Wykonano i zakończono żądaną czynność dotyczącą poczty 451 4.5.1 Przerwano żądaną czynność: błąd lokalny podczas przetwarzania 550 5.5.0 Nie wykonano żądanej czynności: skrzynka pocztowa jest niedostępna Ostrzeżenie: Nieprawidłowa składnia kodów odpowiedzi serwera SMTP może spowodować błędne działanie komponentów programu oraz ograniczenie jego skuteczności. UWAGA: Wysyłaną przez serwer SMTP odpowiedź o odrzuceniu można również skonfigurować za pomocą zmiennych systemu. 21 3.1.2 Reguły Element menu Reguły umożliwia administratorom ręczne definiowanie warunków filtrowania wiadomości e-mail i czynności, jakie mają zostać podjęte wobec odfiltrowanych wiadomości. Reguły są stosowane zgodnie z zestawem połączonych warunków. Do łączenia wielu warunków służy operator logiczny AND — w takim przypadku reguła jest stosowana tylko w przypadku spełnienia wszystkich warunków. Kolumna Numer (widoczna obok nazwy każdej reguły) pokazuje, ile razy dana reguła została pomyślnie zastosowana. Reguły są stosowane do wiadomości, gdy jest ona przetwarzana przez agenta transportu (TA) lub program VSAPI. Gdy włączony jest zarówno agent transportu, jak i program VSAPI, a wiadomość spełnia warunki reguły, wartość licznika reguł może wzrosnąć o 2 lub więcej. Dzieje się tak, ponieważ program VSAPI uzyskuje dostęp do każdej części wiadomości osobno (treść, załącznik). Oznacza to, że reguły są kolejno stosowane osobno wobec każdej części. Reguły są również stosowane podczas skanowania w tle (np. powtórzone skanowanie skrzynek pocztowych po aktualizacji bazy danych sygnatur wirusów), co także może zwiększyć wartość licznika reguł. Dodaj — umożliwia dodanie nowej reguły. Edytuj ... — umożliwia zmodyfikowanie istniejącej reguły. Usuń — umożliwia usunięcie zaznaczonej reguły. Wyczyść — umożliwia wyczyszczenie licznika reguł (kolumna Trafienia). Przenieś w górę — przenosi wybraną regułę w górę listy. Przenieś w dół — przenosi wybraną regułę w dół listy. Usunięcie zaznaczenia pola wyboru (widocznego po lewej stronie nazwy każdej reguły) dezaktywuje bieżącą regułę. Umożliwia to ponowne aktywowanie reguły w razie konieczności. UWAGA: podczas konfigurowania reguł można także używać zmiennych systemowych (np. %PATHEXT%). UWAGA: w przypadku dodania nowej lub zmodyfikowania istniejącej reguły automatycznie zostanie uruchomione ponowne skanowanie wiadomości za pomocą nowej/zmodyfikowanej reguły. 22 3.1.2.1 Dodawanie nowych reguł Ten kreator prowadzi użytkownika przez proces dodawania zdefiniowanych przez niego reguł zawierających połączone warunki. UWAGA: W przypadku skanowania wiadomości przez agenta transportu nie są stosowane wszystkie warunki. Według docelowej skrzynki pocztowej — dotyczy nazwy skrzynki pocztowej (VSAPI) Według odbiorcy wiadomości — dotyczy wiadomości wysłanej do określonego odbiorcy (VSAPI + TA) Według nadawcy wiadomości — dotyczy wiadomości wysłanej przez określonego nadawcę (VSAPI + TA) Według tematu wiadomości — dotyczy wiadomości o określonym temacie (VSAPI + TA) Według treści wiadomości — dotyczy wiadomości, której treść zawiera określony tekst (VSAPI) Według nazwy załącznika — dotyczy wiadomości z załącznikiem o określonej nazwie (VSAPI w programie Exchange 2000 i Exchange 2003, VSAPI + TA w programie Exchange 2007 i Exchange 2010). Według rozmiaru załącznika — dotyczy wiadomości, w przypadku której rozmiar załącznika przekracza określoną wartość (VSAPI w programie Exchange 2000 i Exchange 2003, VSAPI + TA w programie Exchange 2007 i Exchange 2010). Według częstotliwości występowania — dotyczy obiektów (treści lub załącznika wiadomości e-mail), których liczba wystąpień w określonym przedziale czasu przekracza ustalony limit (VSAPI). Jest to przydatne zwłaszcza w przypadku częstego otrzymywania spamu o takiej samej treści bądź z takim samym załącznikiem. Według typu załącznika — dotyczy wiadomości z załącznikiem w postaci pliku o określonym typie (rzeczywisty typ pliku jest ustalany na podstawie jego zawartości, bez względu na rozszerzenie) (VSAPI). Jeśli nie włączono opcji Tylko całe wyrazy, podczas określania wymienionych powyżej warunków (z wyjątkiem warunku Według rozmiaru załącznika) wystarczy wpisać jedynie fragment tekstu. Jeśli nie włączono opcji Uwzględniaj wielkość liter, wielkość liter nie jest uwzględniana podczas wprowadzania wartości. W przypadku stosowania wartości innych niż alfanumeryczne należy używać nawiasów i cudzysłowów. Warunki można też tworzyć z użyciem operatorów logicznych AND, OR i NOT. UWAGA: Lista dostępnych reguł zależy od zainstalowanej wersji oprogramowania Microsoft Exchange Server. UWAGA: Oprogramowanie Microsoft Exchange Server 2000 (VSAPI 2.0) ocenia jedynie wyświetloną nazwę nadawcy/odbiorcy, a nie adres e-mail. Adresy e-mail są oceniane w oprogramowaniu Microsoft Exchange Server 2003 (VSAPI 2.5) i w jego nowszych wersjach. Przykłady wprowadzania warunków: Według docelowej skrzynki pocztowej: kowalski Według nadawcy wiadomości e-mail: [email protected] Według odbiorcy wiadomości e-mail: "J. Kowalski" OR "[email protected]" 23 Według tematu wiadomości e-mail: "" Według nazwy załącznika: ".com" OR ".exe" Według treści wiadomości e-mail: ("bezpłatny" OR "loteria") AND ("wygraj" OR "kup") 3.1.2.2 Czynności podej mowane przy stosowaniu reguł Ta sekcja umożliwia wybieranie czynności wykonywanych w odniesieniu do wiadomości i/lub załączników spełniających warunki określone w regułach. Można nie wykonywać żadnej czynności, oznaczyć wiadomość tak, jakby była zagrożeniem/spamem, lub usunąć całą wiadomość. Skanowanie za pomocą modułów antywirusowych lub ochrony przed spamem nie jest uruchamiane domyślnie, gdy wiadomość lub jej załącznik spełnia warunki określone w regule. Aby tak się działo, należy zaznaczyć odpowiednie pola wyboru dostępne poniżej (czynność wykonywana w takiej sytuacji będzie zależeć od ustawień ochrony antywirusowej i ochrony przed spamem). Brak czynności — nie zostanie podjęta żadna czynność wobec wiadomości. Wykonaj czynność dotyczącą niewyleczonego zagrożenia — wiadomość zostanie oznaczona jako zawierająca niewyleczone zagrożenie (niezależnie od tego, czy zawierała zagrożenie, czy nie). Wykonaj czynność dotyczącą niepożądanych wiadomości e-mail — wiadomość zostanie oznaczona jako spam (niezależnie od tego, czy faktycznie jest spamem, czy nie). Ta opcja zadziała tylko wtedy, gdy ochrona przed spamem 38 jest włączona, a czynność jest wykonywana na poziomie serwera poczty elektronicznej. W przeciwnym razie czynność nie zostanie wykonana. Usuń wiadomość — powoduje usunięcie całej wiadomości wraz z zawartością spełniającą określone warunki, jednak ta czynność jest dostępna tylko w wersjach programu VSAPI 2.5 i nowszych (w wersjach programu VSAPI 2.0 i starszych czynność nie jest obsługiwana). Poddaj plik kwarantannie — załączone pliki spełniające kryteria reguły zostaną przeniesione do kwarantanny plików programu ESET Mail Security, której nie należy mylić z kwarantanną wiadomości (więcej informacji na temat kwarantanny wiadomości można znaleźć w rozdziale Kwarantanna wiadomości 26 ). Prześlij plik do analizy — spowoduje wysłanie podejrzanych załączników do laboratorium firmy ESET do analizy. Wyślij powiadomienie o zdarzeniu — spowoduje wysłanie powiadomienia do administratora (na podstawie ustawień wybranych w obszarze Narzędzia > Alerty i powiadomienia). Dziennik — spowoduje zapisanie w dzienniku programu informacji o zastosowanej regule. Oceń inne reguły — umożliwia ocenę innych reguł, pozwalając użytkownikowi definiować wiele zestawów warunków oraz wiele czynności, które mogą być wykonywane zależnie od warunków. Skanuj za pomocą ochrony antywirusowej i antyspyware — powoduje skanowanie wiadomości i jej załączników pod kątem zagrożeń. Skanuj za pomocą ochrony przed spamem — skanuje wiadomości pod kątem spamu. UWAGA: Ta opcja jest dostępna tylko w oprogramowaniu Microsoft Exchange Server w wersji 2000 lub nowszej, gdy włączono agenta transportu. 24 Ostatni krok w kreatorze tworzenia nowej reguły polega na nadaniu każdej utworzonej regule nazwy. Można także dodać Komentarz do reguły. Ta informacja zostanie zapisana w dzienniku oprogramowania Microsoft Exchange Server. 3.1.3 Pliki dziennika Ustawienia plików dziennika pozwalają określić, jak długo będzie tworzony plik dziennika. Bardziej szczegółowy protokół może zawierać więcej informacji, ale również obniżać wydajność serwera. Po włączeniu opcji Zsynchronizowany zapis bez używania pamięci podręcznej wszystkie wpisy dziennika są zapisywane natychmiast w pliku dziennika bez zapisywania w jego pamięci podręcznej. Domyślnie komponenty programu ESET Mail Security uruchomione w oprogramowaniu Microsoft Exchange Server zapisują wiadomości dziennika w swojej pamięci podręcznej i, w celu utrzymania wydajności, przesyłają je do dziennika aplikacji w określonych odstępach czasu. W takim przypadku wpisy diagnostyczne dziennika mogą jednak nie mieć właściwej kolejności. Zaleca się wyłączenie tego ustawienia, chyba że jest ono wymagane do diagnostyki. Rodzaj informacji zapisywanych w plikach dziennika można określić w menu Zawartość. Rej estruj stosowanie reguł — po włączeniu tej opcji program ESET Mail Security zapisuje w pliku dziennika nazwy wszystkich aktywowanych reguł. Rej estruj wyniki spamu — użycie tej opcji powoduje rejestrowanie czynności związanych ze spamem w Dzienniku ochrony przed spamem 98 . Gdy serwer pocztowy odbiera wiadomość będącą spamem, informacja na ten temat jest zapisywana w dzienniku. Zawiera ona takie dane, jak Godzina/Data, Nadawca, Odbiorca, Temat, Wynik spamu, Powód oraz Czynność. Są one przydatne w razie konieczności sprawdzenia, jakie wiadomości spamu zostały odebrane, kiedy to nastąpiło oraz jakie czynności wykonano. Rej estruj operacj e użycia szarej listy — włączenie tej opcji spowoduje zapisywanie czynności związanych z szarą listą w Dzienniku szarej listy 98 . Zawiera on takie dane jak Godzina/Data, Domena HELO, Adres IP, Nadawca, Odbiorca, Czynność itp. UWAGA: ta opcja działa tylko po włączeniu szarej listy za pomocą ustawień Agenta transportu 39 dostępnych po wybraniu kolejno opcji Ochrona serwera > Ochrona przed spamem > Microsoft Exchange Server > Agent transportu w drzewie ustawień zaawansowanych (F5). Rej estruj wydaj ność — rejestruje informacje na temat przedziału czasu wykonywanego zadania, rozmiaru skanowanego obiektu, szybkości transferu (KB/s) oraz oceny wydajności. Rej estruj informacj e diagnostyczne — rejestruje informacje diagnostyczne niezbędne do dostosowywania programu pod kątem protokołu. Ta opcja służy głównie do debugowania oraz wykrywania problemów. Nie zaleca się włączania tej opcji. Aby zobaczyć informacje diagnostyczne udostępniane przez tę funkcję, należy 25 ustawić opcję Minimalna szczegółowość zapisów w dzienniku jako Rekordy diagnostyczne , wybierając kolejno opcje Narzędzia > Pliki dziennika > Minimalna szczegółowość zapisów w dzienniku. 3.1.4 Kwarantanna wiadomości Kwarantanna wiadomości to specjalna skrzynka pocztowa zdefiniowana przez administratora systemu w celu przechowywania potencjalnie zarażonych wiadomości i spamu. Wiadomości poddane kwarantannie można przeanalizować lub wyleczyć w późniejszym czasie przy użyciu nowszej bazy sygnatur wirusów. Dostępne są dwa rodzaje systemów kwarantanny wiadomości. Można korzystać z systemu kwarantanny oprogramowania Microsoft Exchange (dostępny tylko w wersji Microsoft Exchange Server 2007/2010). W tym przypadku do przechowywania potencjalnie zarażonych wiadomości oraz spamu używany jest wewnętrzny mechanizm oprogramowania Exchange. Dodatkowo, jeśli zajdzie taka potrzeba, można dodać osobną skrzynkę pocztową kwarantanny (lub kilka takich skrzynek) na potrzeby poszczególnych odbiorców. W wyniku tego potencjalnie zarażone wiadomości, które początkowo zostały wysłane do konkretnego odbiorcy, zostaną dostarczone do osobnej skrzynki pocztowej kwarantanny, a nie do wewnętrznej skrzynki pocztowej kwarantanny programu Exchange. W niektórych przypadkach może to pomóc w porządkowaniu potencjalnie zarażonych wiadomości oraz spamu. Oprócz tego jest dostępna funkcja Wspólna kwarantanna wiadomości. Użytkownicy wcześniejszych wersji oprogramowania Microsoft Exchange Server (5.5, 2000 lub 2003) mogą wybrać opcję Wspólna kwarantanna wiadomości, tzn. skrzynkę pocztową, która będzie używana do przechowywania potencjalnie zarażonych wiadomości. W takim przypadku system wewnętrznej kwarantanny oprogramowania Exchange nie jest używany. Zamiast niego jest w tym celu stosowana skrzynka pocztowa określona przez administratora systemu. Tak jak w przypadku pierwszej opcji, można dodać osobną skrzynką pocztową kwarantanny (lub kilka takich skrzynek pocztowych) na potrzeby poszczególnych odbiorców. W wyniku tego potencjalnie zarażone wiadomości są dostarczane do osobnej skrzynki pocztowej, a nie do wspólnej kwarantanny wiadomości. 26 Wspólna kwarantanna wiadomości — w tym miejscu można określić adres wspólnej kwarantanny wiadomości (np. [email protected]). Można też używać systemu wewnętrznej kwarantanny oprogramowania Microsoft Exchange Server 2007/2010 — aby to zrobić, należy pozostawić to pole puste i wybrać w dostępnym na dole menu rozwijanym opcję Przenieś wiadomość do kwarantanny systemu serwera pocztowego (o ile kwarantanna oprogramowania Exchange jest dostępna w danym środowisku). Następnie wiadomości e-mail są dostarczane do wewnętrznego mechanizmu kwarantanny oprogramowania Exchange za pomocą jego własnych ustawień. UWAGA: Domyślnie, wewnętrzna kwarantanna nie jest aktywowana w oprogramowaniu Exchange. Aby ją aktywować, należy otworzyć powłokę zarządzania serwerem Exchange i wpisać następujące polecenie: Set-ContentFilterConfig -QuarantineMailbox [email protected] (zapis [email protected] należy zastąpić adresem skrzynki pocztowej, której oprogramowanie Microsoft Exchange ma używać jako skrzynki pocztowej wewnętrznej kwarantanny, na przykład [email protected]). Kwarantanna wiadomości wg odbiorcy — ta opcja pozwala określać skrzynki pocztowe kwarantanny dla wielu odbiorców. Każdą regułę kwarantanny można włączać i wyłączać, zaznaczając pole wyboru widoczne w jej wierszu lub usuwając jego zaznaczenie. Dodaj ... — pozwala dodawać nowe reguły kwarantanny poprzez wprowadzenie odpowiedniego adresu e-mail odbiorcy oraz adresu e-mail kwarantanny, na który będą przekazywane wiadomości e-mail. Edytuj ... — umożliwia edytowanie wybranej reguły kwarantanny. Usuń — umożliwia usunięcie wybranej reguły kwarantanny. Preferuj wspólną kwarantannę wiadomości — po włączeniu tej opcji wiadomość zostanie dostarczona do określonej wspólnej kwarantanny, o ile zostały spełnione warunki więcej niż jednej reguły kwarantanny (np. jeśli wiadomość ma wielu odbiorców i część z nich jest zdefiniowanych w wielu regułach kwarantanny). Wiadomość przeznaczona dla kwarantanny wiadomości nieistniej ących (jeśli nie określono wspólnej kwarantanny wiadomości, dostępne są następujące opcje czynności podejmowanych wobec potencjalnie zarażonych wiadomości oraz spamu) Brak czynności — wiadomość zostanie przetworzona w standardowy sposób, czyli dostarczona do odbiorcy (niezalecane). Usuń wiadomość — wiadomość zostanie usunięta, jeśli jest zaadresowana do odbiorcy, dla którego nie zdefiniowano żadnej reguły kwarantanny ani nie wybrano wspólnej kwarantanny wiadomości. Oznacza to, że wszystkie potencjalnie zarażone wiadomości oraz spam będą automatycznie usuwane i nie będą nigdzie zapisywane. Przenieś wiadomość do kwarantanny systemu serwera pocztowego — wiadomość zostanie dostarczona do systemu wewnętrznej kwarantanny programu Exchange i zapisana w nim (opcja niedostępna w oprogramowaniu Microsoft Exchange Server 2003 ani w jego wcześniejszych wersjach) UWAGA: Przy konfigurowaniu ustawień kwarantanny wiadomości można też korzystać ze zmiennych systemowych (np. %USERNAME%). 27 3.1.4.1 Dodawanie nowej reguły kwarantanny W odpowiednich polach należy podać adres e-mail odbiorcy oraz adres e-mail kwarantanny. Aby usunąć wiadomość e-mail zaadresowaną do odbiorcy, w odniesieniu do którego nie zastosowano reguły kwarantanny, należy wybrać opcję Usuń wiadomość z menu rozwijanego Komunikat dotyczący braku kwarantanny wiadomości. 3.1.5 Wydaj ność Aby zwiększyć wydajność programu, można zdefiniować w tej sekcji folder, w którym będą przechowywane pliki tymczasowe. Jeśli nie zostanie wybrany żaden folder, program ESET Mail Security będzie tworzyć pliki tymczasowe w folderze tymczasowym systemu. UWAGA: Aby ograniczyć potencjalny wpływ na operacje we/wy oraz fragmentację, nie zaleca się umieszczania folderu tymczasowego na tym samym dysku twardym, na którym zainstalowano oprogramowanie Microsoft Exchange Server. Zdecydowanie nie należy tworzyć folderu tymczasowego na nośniku wymiennym, takim jak dyskietka, pamięć USB, dysk DVD itp. UWAGA: Ustawienia wydajności można konfigurować za pomocą zmiennych systemowych (np. %SystemRoot% \TEMP). 3.2 Ustawienia ochrony antywirusowej i antyspyware Aby włączyć ochronę antywirusową i antyspyware serwera poczty e-mail, należy wybrać opcję Włącz ochronę antywirusową i antyspyware serwera. Ochrona antywirusowa i antyspyware jest włączana automatycznie po każdym ponownym uruchomieniu usługi/komputera. Ustawienia parametrów aparatu ThreatSense są dostępne po kliknięciu przycisku Ustawienia. 28 3.2.1 Microsoft Exchange Server W zakresie ochrony antywirusowej i ochrony przed spamem w programie ESET Mail Security dla oprogramowania Microsoft Exchange Server są stosowane dwa rodzaje skanowania. Pierwszy z nich to skanowanie wiadomości za pośrednictwem programu VSAPI, a drugi to skanowanie za pomocą agenta transportu. Po włączeniu ochrony za pomocą programu VSAPI 29 wiadomości są skanowane bezpośrednio w magazynie serwera Exchange. W przypadku włączenia ochrony za pomocą agenta transportu 35 skanowana jest komunikacja SMTP, a nie sam magazyn serwera Exchange. Po włączeniu ochrony tego typu wszystkie wiadomości oraz ich składniki są skanowane podczas transportu — zanim dotrą do magazynu serwera Exchange lub zostaną wysłane za pomocą protokołu SMTP. Filtrowanie SMTP na poziomie serwera jest chronione za pomocą specjalnego dodatku. W oprogramowaniu Microsoft Exchange Server 2000 i 2003 ten dodatek (Event Sink) jest zarejestrowany na serwerze SMTP jako składnik usług IIS (Internet Information Services). W oprogramowaniu Microsoft Exchange Server 2007/2010 dodatek jest zarejestrowany jako agent transportu w rolach Granica lub Centrum oprogramowania Microsoft Exchange Server. UWAGA: Agent transportu jest niedostępny w oprogramowaniu Microsoft Exchange Server 5.5, natomiast można z niego korzystać we wszystkich nowszych wersjach oprogramowania Microsoft Exchange Server (od wersji 2000). Istnieje możliwość jednoczesnego włączenia ochrony antywirusowej i ochrony przed spamem za pomocą programu VSAPI oraz agenta transportu — jest to konfiguracja domyślna i zalecana. Użytkownik może również wybrać tylko jeden rodzaj ochrony (za pomocą programu VSAPI lub agenta transportu). Mogą być one włączane i wyłączane niezależnie od siebie. Zaleca się stosowanie obu rodzajów ochrony, ponieważ gwarantuje to maksymalną ochronę antywirusową i przed spamem. Wyłączenie obu rodzajów ochrony nie jest zalecane. 3.2.1.1 VSAPI (Virus-Scanning Application Programming Interface) Platforma Microsoft Exchange Server udostępnia mechanizm gwarantujący, że każdy komponent wiadomości jest skanowany przy użyciu zaktualizowanej bazy sygnatur wirusów. Jeśli wiadomość nie była skanowana wcześniej, jej odpowiednie komponenty są przesyłane do skanera przed wysłaniem wiadomości do klienta. Każda obsługiwana wersja platformy Microsoft Exchange Server (5.5/2000/2003/2007/2010) udostępnia inną wersję interfejsu VSAPI. 3.2.1.1.1 Microsoft Exchange Server 5.5 (VSAPI 1.0) Ta wersja oprogramowania Microsoft Exchange Server zawiera program VSAPI w wersji 1.0. Włączenie opcji Skanowanie w tle umożliwia skanowanie wszystkich wiadomości w tle. Oprogramowanie Microsoft Exchange Server decyduje o uruchomieniu skanowania w tle na podstawie różnych czynników, takich jak aktualne obciążenie systemu, liczba aktywnych użytkowników itd. Oprogramowanie Microsoft Exchange Server zachowuje rejestr przeskanowanych wiadomości oraz wersji użytej bazy sygnatur wirusów. W przypadku otwierania wiadomości, która nie została przeskanowana za pomocą najbardziej aktualnej bazy sygnatur wirusów, oprogramowanie Microsoft Exchange Server wysyła tę wiadomość do programu ESET Mail Security w celu jej przeskanowania przed otwarciem w programie poczty e-mail. Ponieważ skanowanie w tle może mieć wpływ na obciążenie systemu (skanowanie jest wykonywane po każdej aktualizacji bazy sygnatur wirusów), zaleca się ustalenie harmonogramu skanowania obejmującego godziny poza czasem pracy. Zaplanowane skanowanie w tle można skonfigurować za pomocą specjalnego zadania w obszarze Harmonogram/Plan. Podczas planowania zadania skanowania w tle można skonfigurować godzinę jego rozpoczęcia, liczbę powtórzeń oraz inne parametry dostępne w obszarze Harmonogram/Plan. Po zakończeniu zadanie pojawi się na liście zaplanowanych zadań. Podobnie jak w przypadku innych zadań użytkownik może usunąć to zadanie, tymczasowo je wyłączyć oraz zmodyfikować jego parametry. 29 3.2.1.1.1.1 Czynności W tej sekcji można określić czynności wykonywane w przypadku wykrycia infekcji wiadomości i/lub załącznika. Pole Czynność w razie niemożności wyczyszczenia pozwala wybrać opcję Blokuj zarażoną zawartość, Usuń wiadomość lub Brak czynności dotyczącej zarażonej zawartości wiadomości. Ta czynność będzie stosowana tylko w przypadku, gdy wiadomość nie została wyleczona przez funkcję automatycznego leczenia (można ją włączyć, wybierając opcję Ustawienia parametrów technologii ThreatSense > Leczenie 80 ). Pole Usunięcie pozwala określić, jaka Metoda usuwania załącznika będzie stosowana dla każdej z tych opcji: Obetnij plik do zerowej długości — program ESET Mail Security obcina załącznik do zerowej długości, pozwalając odbiorcy zobaczyć nazwę i typ pliku załącznika. Zastąp załącznik informacj ami o czynnościach — program ESET Mail Security zastępuje zarażony plik protokołem wirusa lub opisem reguły. Klikając przycisk Przeskanuj ponownie, można uruchomić ponowne skanowanie wiadomości i plików, które zostały przeskanowane wcześniej. 3.2.1.1.1.2 Wydaj ność Podczas skanowania oprogramowanie Microsoft Exchange Server umożliwia ustalenie limitu czasu otwierania załączników wiadomości. Wartość wpisana w polu Limit czasu odpowiedzi (ms) określa, po jakim czasie program ponawia próbę uzyskania dostępu do pliku, który wcześniej był niedostępny z powodu skanowania. 3.2.1.1.2 Microsoft Exchange Server 2000 (VSAPI 2.0) Ta wersja oprogramowania Microsoft Exchange Server zawiera program VSAPI w wersji 2.0. Po usunięciu zaznaczenia pola wyboru Włącz ochronę antywirusową i antyspyware przez program VSAPI 2.0 dodatek ESET Mail Security dla serwera Exchange zostanie usunięty z procesu serwera Microsoft Exchange. Będzie on jedynie przekazywać wiadomości, nie skanując ich w poszukiwaniu wirusów. Wiadomości będą jednak nadal skanowane pod kątem spamu 39 . Będą również wobec nich stosowane reguły 22 . Po włączeniu opcji Skanowanie prewencyj ne nowe wiadomości przychodzące będą skanowane w kolejności odebrania. Jeśli po zaznaczeniu tej opcji użytkownik otworzy jeszcze niezeskanowaną wiadomość, wiadomość ta zostanie zeskanowana przed innymi wiadomościami w kolejce. Opcja Skanowanie w tle umożliwia skanowanie wszystkich wiadomości w tle systemu. Oprogramowanie Microsoft Exchange Server decyduje o uruchomieniu skanowania w tle na podstawie różnych czynników, takich jak aktualne obciążenie systemu, liczba aktywnych użytkowników itd. Oprogramowanie Microsoft Exchange Server zachowuje rejestr przeskanowanych wiadomości oraz wersji użytej bazy sygnatur wirusów. W przypadku otwierania wiadomości, która nie została przeskanowana za pomocą najbardziej aktualnej bazy sygnatur wirusów, oprogramowanie Microsoft Exchange Server wysyła tę wiadomość do programu ESET Mail Security w celu jej przeskanowania przed otwarciem w programie poczty e-mail. Ponieważ skanowanie w tle może mieć wpływ na obciążenie systemu (skanowanie jest wykonywane po każdej aktualizacji bazy sygnatur wirusów), zaleca się ustalenie harmonogramu skanowania obejmującego godziny poza czasem pracy. Zaplanowane skanowanie w tle można skonfigurować za pomocą specjalnego zadania w obszarze Harmonogram/Plan. Podczas planowania zadania skanowania w tle można skonfigurować godzinę jego rozpoczęcia, liczbę powtórzeń oraz inne parametry dostępne w obszarze Harmonogram/Plan. Po zakończeniu zadanie pojawi się na liście zaplanowanych zadań. Podobnie jak w przypadku innych zadań użytkownik może usunąć to zadanie, tymczasowo je wyłączyć oraz zmodyfikować jego parametry. Aby skanować wiadomości w formacie tekstowym, należy wybrać opcję Skanuj treść wiadomości tekstowych. Włączenie opcji Skanuj treści wiadomości RTF aktywuje skanowanie treści wiadomości w formacie RTF. Treść wiadomości w formacie RTF może zawierać makrowirusy. 30 3.2.1.1.2.1 Czynności W tej sekcji można określić czynności wykonywane w przypadku wykrycia infekcji wiadomości i/lub załącznika. Pole Czynność w razie niemożności wyczyszczenia pozwala wybrać opcję Blokuj zarażoną zawartość, Usuń wiadomość lub Brak czynności dotyczącej zarażonej zawartości wiadomości. Ta czynność będzie stosowana tylko w przypadku, gdy wiadomość nie została wyleczona przez funkcję automatycznego leczenia (można ją włączyć, wybierając opcję Ustawienia parametrów technologii ThreatSense > Leczenie 80 ). Opcja Usunięcie pozwala wybrać ustawienie Metoda usuwania wiadomości i Metoda usuwania załącznika. Metoda usuwania wiadomości może mieć wartość: Usuń treść wiadomości — powoduje usunięcie treści zarażonej wiadomości. Odbiorca otrzymuje pustą wiadomość oraz wszystkie niezarażone załączniki. Przepisz treść wiadomości z informacj ami o czynnościach — powoduje przepisanie treści zarażonej wiadomości oraz dodanie informacji o wykonanych czynnościach. Pole Metoda usuwania załącznika może mieć wartość: Obetnij plik do zerowej długości — program ESET Mail Security obcina załącznik do zerowej długości, pozwalając odbiorcy zobaczyć nazwę i typ pliku załącznika. Zastąp załącznik informacj ami o czynnościach — program ESET Mail Security zastępuje zarażony plik protokołem wirusa lub opisem reguły. Klikając przycisk Przeskanuj ponownie, można uruchomić ponowne skanowanie wiadomości i plików, które zostały przeskanowane wcześniej. 3.2.1.1.2.2 Wydaj ność W tej sekcji można ustawić liczbę niezależnych wątków skanowania używanych jednocześnie. Większa liczba wątków na komputerach z wieloma procesorami może zwiększyć wskaźnik wykrywalności. W celu osiągnięcia najwyższej wydajności programu zaleca się użycie takiej samej liczby aparatów skanowania technologii ThreatSense i wątków skanowania. Opcja Limit czasu odpowiedzi (s) pozwala wybrać maksymalny czas oczekiwania wątku na zakończenie skanowania wiadomości. Jeśli skanowanie nie zostanie zakończone przed upływem wyznaczonego czasu, oprogramowanie Microsoft Exchange Server odmówi programowi dostępu do wiadomości e-mail. Skanowanie nie zostanie przerwane, a dostęp do pliku będzie możliwy dopiero po jego zakończeniu. PORADA:: aby ustalić, jaka Liczba wątków skanowania jest zalecana przez dostawcę oprogramowania Microsoft Exchange Server, można użyć następującego wzoru: [liczba fizycznych procesorów] x 2 + 1. UWAGA: Jeśli liczba aparatów skanowania technologii ThreatSense przekroczy liczbę wątków skanowania, wzrost wydajności nie będzie znaczący. 31 3.2.1.1.3 Microsoft Exchange Server 2003 (VSAPI 2.5) Ta wersja oprogramowania Microsoft Exchange Server zawiera program VSAPI w wersji 2.5. Po usunięciu zaznaczenia pola wyboru Włącz ochronę antywirusową i antyspyware przez program VSAPI 2.5 dodatek ESET Mail Security dla serwera Exchange zostanie usunięty z procesu serwera Microsoft Exchange. Będzie on jedynie przekazywać wiadomości, nie skanując ich w poszukiwaniu wirusów. Wiadomości będą jednak nadal skanowane pod kątem spamu 39 . Będą również wobec nich stosowane reguły 22 . Po włączeniu opcji Skanowanie prewencyj ne nowe wiadomości przychodzące będą skanowane w kolejności odebrania. Jeśli po zaznaczeniu tej opcji użytkownik otworzy jeszcze niezeskanowaną wiadomość, wiadomość ta zostanie zeskanowana przed innymi wiadomościami w kolejce. Opcja Skanowanie w tle umożliwia skanowanie wszystkich wiadomości w tle systemu. Oprogramowanie Microsoft Exchange Server decyduje o uruchomieniu skanowania w tle na podstawie różnych czynników, takich jak aktualne obciążenie systemu, liczba aktywnych użytkowników itd. Oprogramowanie Microsoft Exchange Server zachowuje rejestr przeskanowanych wiadomości oraz wersji użytej bazy sygnatur wirusów. W przypadku otwierania wiadomości, która nie została przeskanowana za pomocą najbardziej aktualnej bazy sygnatur wirusów, oprogramowanie Microsoft Exchange Server wysyła tę wiadomość do programu ESET Mail Security w celu jej przeskanowania przed otwarciem w programie poczty e-mail. Ponieważ skanowanie w tle może mieć wpływ na obciążenie systemu (skanowanie jest wykonywane po każdej aktualizacji bazy sygnatur wirusów), zaleca się ustalenie harmonogramu skanowania obejmującego godziny poza czasem pracy. Zaplanowane skanowanie w tle można skonfigurować za pomocą specjalnego zadania w obszarze Harmonogram/Plan. Podczas planowania zadania skanowania w tle można skonfigurować godzinę jego rozpoczęcia, liczbę powtórzeń oraz inne parametry dostępne w obszarze Harmonogram/Plan. Po zakończeniu zadanie pojawi się na liście zaplanowanych zadań. Podobnie jak w przypadku innych zadań użytkownik może usunąć to zadanie, tymczasowo je wyłączyć oraz zmodyfikować jego parametry. Włączenie opcji Skanuj treści wiadomości RTF aktywuje skanowanie treści wiadomości w formacie RTF. Treść wiadomości w formacie RTF może zawierać makrowirusy. Opcja Skanuj przesyłane wiadomości umożliwia skanowanie wiadomości, które nie są przechowywane na lokalnym serwerze Microsoft Exchange Server, ale są za jego pomocą dostarczane do innych serwerów poczty email. Oprogramowanie Microsoft Exchange Server może zostać skonfigurowane jako brama, a następnie przekazywać wiadomości do innych serwerów poczty e-mail. Po włączeniu skanowania przesyłanych wiadomości program ESET Mail Security skanuje również te wiadomości. Ta opcja jest dostępna tylko po wyłączeniu agenta transportu. UWAGA: program VSAPI nie skanuje treści wiadomości tekstowych. 3.2.1.1.3.1 Czynności W tej sekcji można określić czynności wykonywane w przypadku wykrycia infekcji wiadomości i/lub załącznika. Pole Czynność w razie niemożności wyczyszczenia pozwala wybrać opcję Blokuj zarażoną zawartość, Usuń zarażoną zawartość wiadomości, Usuń całą wiadomość łącznie z zarażoną zawartością lub Brak czynności. Ta czynność będzie stosowana tylko w przypadku, gdy wiadomość nie została wyleczona przez funkcję automatycznego leczenia (można ją włączyć, wybierając opcję Ustawienia parametrów technologii ThreatSense > Leczenie 80 ). Opcja Usunięcie pozwala wybrać ustawienie Metoda usuwania wiadomości i Metoda usuwania załącznika. Metoda usuwania wiadomości może mieć wartość: Usuń treść wiadomości — powoduje usunięcie treści zarażonej wiadomości. Odbiorca otrzyma pustą wiadomość oraz wszystkie niezarażone załączniki. Przepisz treść wiadomości z informacj ami o czynnościach — powoduje przepisanie treści zarażonej wiadomości oraz dodanie informacji o wykonanych czynnościach. Usuń całą wiadomość — powoduje usunięcie całej wiadomości łącznie z załącznikami. Można ustawić czynność wykonywaną podczas usuwania załączników. 32 Pole Metoda usuwania załącznika może mieć wartość: Obetnij plik do zerowej długości — program ESET Mail Security obcina załącznik do zerowej długości, pozwalając odbiorcy zobaczyć nazwę i typ pliku załącznika. Zastąp załącznik informacj ami o czynnościach — program ESET Mail Security zastępuje zarażony plik protokołem wirusa lub opisem reguły. Usuń całą wiadomość — powoduje usunięcie całej wiadomości łącznie z załącznikami. Można ustawić czynność wykonywaną podczas usuwania załączników. Klikając przycisk Przeskanuj ponownie, można uruchomić ponowne skanowanie wiadomości i plików, które zostały przeskanowane wcześniej. 3.2.1.1.3.2 Wydaj ność W tej sekcji można ustawić liczbę niezależnych wątków skanowania używanych jednocześnie. Większa liczba wątków na komputerach z wieloma procesorami może zwiększyć wskaźnik wykrywalności. W celu osiągnięcia najwyższej wydajności programu zaleca się użycie takiej samej liczby aparatów skanowania technologii ThreatSense i wątków skanowania. Opcja Limit czasu odpowiedzi (s) pozwala wybrać maksymalny czas oczekiwania wątku na zakończenie skanowania wiadomości. Jeśli skanowanie nie zostanie zakończone przed upływem wyznaczonego czasu, oprogramowanie Microsoft Exchange Server odmówi programowi dostępu do wiadomości e-mail. Skanowanie nie zostanie przerwane, a dostęp do pliku będzie możliwy dopiero po jego zakończeniu. PORADA: aby ustalić, jaka Liczba wątków skanowania jest zalecana przez dostawcę oprogramowania Microsoft Exchange Server, można użyć następującego wzoru: [liczba fizycznych procesorów] x 2 + 1. UWAGA: Jeśli liczba aparatów skanowania technologii ThreatSense przekroczy liczbę wątków skanowania, wzrost wydajności nie będzie znaczący. 3.2.1.1.4 Microsoft Exchange Server 2007/2010 (VSAPI 2.6) Ta wersja oprogramowania Microsoft Exchange Server zawiera program VSAPI w wersji 2.6. Po usunięciu zaznaczenia pola wyboru Włącz ochronę antywirusową i antyspyware przez program VSAPI 2.6 dodatek ESET Mail Security dla serwera Exchange zostanie usunięty z procesu serwera Microsoft Exchange. Będzie on jedynie przekazywać wiadomości, nie skanując ich w poszukiwaniu wirusów. Wiadomości będą jednak nadal skanowane pod kątem spamu 39 . Będą również wobec nich stosowane reguły 22 . Po włączeniu opcji Skanowanie prewencyj ne nowe wiadomości przychodzące będą skanowane w kolejności odebrania. Jeśli po zaznaczeniu tej opcji użytkownik otworzy jeszcze niezeskanowaną wiadomość, wiadomość ta zostanie zeskanowana przed innymi wiadomościami w kolejce. Opcja Skanowanie w tle umożliwia skanowanie wszystkich wiadomości w tle systemu. Oprogramowanie Microsoft Exchange Server decyduje o uruchomieniu skanowania w tle na podstawie różnych czynników, takich jak aktualne obciążenie systemu, liczba aktywnych użytkowników itd. Oprogramowanie Microsoft Exchange Server zachowuje rejestr przeskanowanych wiadomości oraz wersji użytej bazy sygnatur wirusów. W przypadku otwierania wiadomości, która nie została przeskanowana za pomocą najbardziej aktualnej bazy sygnatur wirusów, oprogramowanie Microsoft Exchange Server wysyła tę wiadomość do programu ESET Mail Security w celu jej przeskanowania przed otwarciem w programie poczty e-mail. Można wybrać opcję Skanuj tylko wiadomości z załącznikami i filtrować wiadomości na podstawie czasu ich odebrania za pomocą następujących opcji Poziom skanowania: Wszystkie wiadomości Wiadomości otrzymane w ostatnim roku Wiadomości otrzymane w ciągu ostatnich 6 miesięcy Wiadomości otrzymane w ciągu ostatnich 3 miesięcy Wiadomości otrzymane w ciągu ostatniego miesiąca Wiadomości otrzymane w ciągu ostatniego tygodnia Ponieważ skanowanie w tle może mieć wpływ na obciążenie systemu (skanowanie jest wykonywane po każdej aktualizacji bazy sygnatur wirusów), zaleca się ustalenie harmonogramu skanowania obejmującego godziny poza czasem pracy. Zaplanowane skanowanie w tle można skonfigurować za pomocą specjalnego zadania w obszarze Harmonogram/Plan. Podczas planowania zadania skanowania w tle można skonfigurować godzinę jego rozpoczęcia, liczbę powtórzeń oraz inne parametry dostępne w obszarze Harmonogram/Plan. Po zakończeniu 33 zadanie pojawi się na liście zaplanowanych zadań. Podobnie jak w przypadku innych zadań użytkownik może usunąć to zadanie, tymczasowo je wyłączyć oraz zmodyfikować jego parametry. Włączenie opcji Skanuj treści wiadomości RTF aktywuje skanowanie treści wiadomości w formacie RTF. Treść wiadomości w formacie RTF może zawierać makrowirusy. UWAGA: Program VSAPI nie skanuje treści wiadomości tekstowych. 3.2.1.1.4.1 Czynności W tej sekcji można określić czynności wykonywane w przypadku wykrycia infekcji wiadomości i/lub załącznika. Pole Czynność w razie niemożności wyczyszczenia pozwala wybrać opcję Blokuj zarażoną zawartość, Usuń obiekt, czyli zarażoną zawartość wiadomości, Usuń całą wiadomość lub Brak czynności. Ta czynność będzie stosowana tylko w przypadku, gdy wiadomość nie została wyleczona przez funkcję automatycznego leczenia (można ją włączyć, wybierając opcję Ustawienia parametrów technologii ThreatSense > Leczenie 80 ). Zgodnie z powyższym opisem dla ustawienia Czynność w razie niemożności wyczyszczenia można wybrać następujące opcje: Brak czynności — nie jest wykonywana żadna czynność dotycząca zarażonej zawartości wiadomości. Blokuj — powoduje blokowanie wiadomości, zanim zostanie ona odebrana przez magazyn oprogramowania Microsoft Exchange Server. Usuń obiekt — powoduje usunięcie zarażonej zawartości wiadomości. Usuń całą wiadomość — powoduje usunięcie całej wiadomości łącznie z zarażoną zawartością. Opcja Usunięcie pozwala wybrać ustawienie Metoda usuwania treści wiadomości i Metoda usuwania załącznika. Pole Metoda usuwania treści wiadomości może mieć wartość: Usuń treść wiadomości — powoduje usunięcie treści zarażonej wiadomości. Odbiorca otrzymuje pustą wiadomość oraz wszystkie niezarażone załączniki. Przepisz treść wiadomości z informacj ami o czynnościach — powoduje przepisanie treści zarażonej wiadomości oraz dodanie informacji o wykonanych czynnościach. Usuń całą wiadomość — powoduje usunięcie całej wiadomości łącznie z załącznikami. Można ustawić czynność wykonywaną podczas usuwania załączników. Pole Metoda usuwania załącznika może mieć wartość: Obetnij plik do zerowej długości — program ESET Mail Security obcina załącznik do zerowej długości, pozwalając odbiorcy zobaczyć nazwę i typ pliku załącznika. Zastąp załącznik informacj ami o czynnościach — program ESET Mail Security zastępuje zarażony plik protokołem wirusa lub opisem reguły. Usuń całą wiadomość — powoduje usunięcie załącznika. Jeśli włączono opcję Używaj kwarantanny systemu VSAPI, zarażone wiadomości będą zapisywane w kwarantannie serwera poczty e-mail. Należy pamiętać, że jest to kwarantanna programu VSAPI zarządzana przez serwer (a nie kwarantanna programu ani skrzynka pocztowa kwarantanny). Zarażone wiadomości zapisane w kwarantannie serwera poczty są niedostępne do momentu wyleczenia za pomocą najnowszej bazy danych sygnatur wirusów. Klikając przycisk Przeskanuj ponownie, można uruchomić ponowne skanowanie wiadomości i plików, które zostały przeskanowane wcześniej. 34 3.2.1.1.4.2 Wydaj ność W tej sekcji można ustawić liczbę niezależnych wątków skanowania używanych jednocześnie. Większa liczba wątków na komputerach z wieloma procesorami może zwiększyć wskaźnik wykrywalności. W celu osiągnięcia najwyższej wydajności programu zaleca się użycie takiej samej liczby aparatów skanowania technologii ThreatSense i wątków skanowania. PORADA: aby ustalić, jaka Liczba wątków skanowania jest zalecana przez dostawcę oprogramowania Microsoft Exchange Server, można użyć następującego wzoru: [liczba fizycznych procesorów] x 2 + 1. UWAGA: Jeśli liczba aparatów skanowania technologii ThreatSense przekroczy liczbę wątków skanowania, wzrost wydajności nie będzie znaczący. 3.2.1.1.5 Agent transportu W tej sekcji można włączać lub wyłączać ochronę antywirusową i ochronę przed spamem zapewnianą przez agenta transportu. W przypadku oprogramowania Microsoft Exchange Server 2007 i jego nowszych wersji agenta transportu można zainstalować tylko w sytuacji, gdy serwer działa w jednej z następujących ról: Transport graniczny lub Transport centralny. Wiadomości, których nie można wyleczyć, są przetwarzane zgodnie z ustawieniami w sekcji Agent transportu. Wiadomość może zostać usunięta, wysłana do skrzynki pocztowej kwarantanny lub zachowana. Po usunięciu zaznaczenia pola wyboru Włącz ochronę antywirusową i antyspyware przez agenta transportu dodatek ESET Mail Security dla serwera Exchange zostanie usunięty z procesu serwera Microsoft Exchange. Będzie on jedynie przekazywać wiadomości, nie skanując ich w poszukiwaniu wirusów. Wiadomości będą jednak nadal skanowane pod kątem spamu 39 . Będą również wobec nich stosowane reguły 22 . Po wybraniu opcji Włącz ochronę antywirusową i antyspyware przez agenta transportu można także określić Czynność w razie niemożności wyczyszczenia: Zachowaj wiadomość — powoduje zachowanie zarażonej wiadomości, której nie można wyleczyć. Poddaj wiadomość kwarantannie — powoduje wysłanie zarażonej wiadomości do skrzynki pocztowej kwarantanny. Usuń wiadomość — powoduje usunięcie zarażonej wiadomości. Po znalezieniu zagrożeń zapisuj wyniki spamu w nagłówkach zeskanowanych wiadomości (%) — umożliwia ustawienie określonej wartości wyniku spamu (prawdopodobieństwa, że wiadomość jest spamem) wyrażonej w procentach. 35 Oznacza to, że w przypadku znalezienia zagrożenia wynik spamu (określona wartość w procentach) jest zapisywany w przeskanowanej wiadomości. Ponieważ większość zarażonych wiadomości wysyłają grupy komputerów zarażonych złośliwym oprogramowaniem (tzw. botnety), wiadomości dystrybuowane w ten sposób są uznawane za spam. Aby ta funkcja działała skutecznie, należy włączyć opcję Zapisuj poziom ufności filtrów spamu (SCL) w nagłówkach zeskanowanych wiadomości na podstawie wyniku spamu, wybierając kolejno opcje Ochrona serwera > Microsoft Exchange Server > Agent transportu 20 . Jeśli opcja Skanuj również wiadomości otrzymane za pośrednictwem połączeń uwierzytelnionych i wewnętrznych jest włączona, program ESET Mail Security skanuje także wiadomości odebrane z uwierzytelnionych źródeł lub serwerów lokalnych. Skanowanie takich wiadomości nie jest konieczne, ale jest zalecane, ponieważ dodatkowo zwiększa ochronę. 3.2.2 Czynności W tej sekcji można wybrać dołączanie identyfikatora zadania skanowania i/lub informacji na temat wyniku skanowania w nagłówku skanowanych wiadomości. 36 3.2.3 Alerty i powiadomienia Program ESET Mail Security umożliwia dodawanie tekstu do oryginalnych tematów lub treści zarażonych wiadomości. Dodaj do treści zeskanowanej wiadomości: — to pole udostępnia trzy opcje: Nie dodawaj do żadnych wiadomości Dodawaj tylko do zarażonych wiadomości Dodawaj do wszystkich skanowanych wiadomości (nie dotyczy wiadomości wewnętrznych) Po włączeniu opcji Dodawaj do tematu zarażonych wiadomości program ESET Mail Security będzie dodawać w temacie wiadomości e-mail oznaczenie, którego wartość określono w polu tekstowym Szablon dodawany do tematu zarażonych wiadomości (wartość domyślna to [wirus %VIRUSNAME%]). Opisane powyżej modyfikacje pozwalają zautomatyzować filtrowanie zarażonych wiadomości przez filtrowanie wiadomości e-mail z określonym tematem (jeśli program poczty e-mail obsługuje tę opcję) do osobnego folderu. UWAGA: Dodając szablon do tematu wiadomości, można również używać zmiennych systemowych. 3.2.4 Wyłączenia automatyczne Twórcy aplikacji i systemów operacyjnych przeznaczonych do serwerów zalecają w przypadku większości swoich produktów wyłączanie zestawów krytycznych plików i folderów roboczych ze skanowania w poszukiwaniu wirusów. Skanowanie w poszukiwaniu wirusów może mieć niekorzystny wpływ na wydajność serwera, prowadzić do konfliktów, a nawet przeszkadzać niektórym aplikacjom w uruchomieniu się na serwerze. Wyłączenia pomagają ograniczyć do minimum ryzyko potencjalnych konfliktów i zwiększyć ogólną wydajność serwera, gdy jest na nim uruchomione oprogramowanie antywirusowe. Program ESET Mail Security wykrywa krytyczne aplikacje serwerowe i pliki serwerowych systemów operacyjnych, po czym automatycznie dodaje je do listy wyłączeń. Procesy/aplikacje serwerowe dodane do listy można uaktywniać (domyślnie są właśnie aktywne), zaznaczając odpowiednie pola wyboru lub dezaktywować, usuwając zaznaczenie. Uzyskuje się w ten sposób następujące efekty: 1) Jeśli wyłączenie aplikacji/systemu operacyjnego pozostanie aktywne, każdy z jej/jego krytycznych plików i folderów znajdzie się na liście plików wyłączonych ze skanowania (Ustawienia zaawansowane > Ochrona komputera > Antywirus i antyspyware > Wyłączenia). Przy każdorazowym uruchamianiu serwera system przeprowadza automatyczne sprawdzenie wyłączeń i przywraca wszystkie wyłączenia, które mogły zostać usunięte z listy. Jest to zalecane ustawienie w sytuacji, gdy użytkownik chce mieć pewność, że zalecane 37 wyłączenia automatyczne są zawsze aktywne. 2) Jeśli użytkownik zdezaktywuje wyłączenie aplikacji/systemu operacyjnego, jej/jego krytyczne pliki i foldery pozostaną na liście plików wyłączonych ze skanowania (Ustawienia zaawansowane > Ochrona komputera > Antywirus i antyspyware > Wyłączenia). Nie będą one jednak automatycznie zaznaczane na liście Wyłączenia po każdorazowym uruchomieniu serwera (patrz punkt 1 powyżej). To ustawienie jest zalecane dla zaawansowanych użytkowników, którzy zamierzają usunąć lub zmodyfikować niektóre wyłączenia standardowe. Aby usunąć wyłączenia z listy bez ponownego uruchamiania serwera, należy skasować je z niej ręcznie (Ustawienia zaawansowane > Ochrona komputera > Antywirus i antyspyware > Wyłączenia). Opisane powyżej ustawienia nie mają wpływu na żadne wyłączenia wprowadzone ręcznie przez użytkownika za pośrednictwem opcji Ustawienia zaawansowane > Ochrona komputera > Antywirus i antyspyware > Wyłączenia. Automatyczne wyłączenia aplikacji/systemów operacyjnych przeznaczonych do serwerów są dobierane zgodnie z zaleceniami firmy Microsoft. Szczegółowe informacje można znaleźć pod następującymi adresami: http://support.microsoft.com/kb/822158 http://support.microsoft.com/kb/245822 http://support.microsoft.com/kb/823166 http://technet.microsoft.com/en-us/library/bb332342%28EXCHG.80%29.aspx http://technet.microsoft.com/en-us/library/bb332342.aspx 3.3 Ochrona przed spamem W sekcji Ochrona przed spamem można włączać lub wyłączać ochronę zainstalowanego serwera poczty przed spamem, konfigurować ustawienia parametrów aparatu oraz ustawienia innych poziomów ochrony. UWAGA: Baza danych modułu antyspamowego musi być koniecznie regularnie aktualizowana, aby moduł antyspamowy zapewniał możliwie najlepszą ochronę. W celu umożliwienia prawidłowych regularnych aktualizacji bazy danych modułu antyspamowego należy zapewnić dostęp produktu ESET Mail Security do pewnych adresów IP na pewnych portach. Więcej informacji na temat adresów IP i portów, które należy włączyć w zaporze firmy zewnętrznej, podano w tym artykule KB. UWAGA: Ponadto kopie dystrybucyjne 91 nie mogą być używane do aktualizacji bazy danych modułu antyspamowego. Aby aktualizacje bazy danych modułu antyspamowego odbywały się prawidłowo, produkt ESET Mail Security musi mieć dostęp do adresów IP wymienionych we wcześniej wspomnianym artykule KB. Bez dostępu do tych adresów IP moduł antyspamowy nie będzie mógł zapewniać najdokładniejszych wyników, a tym 38 samym najlepszej możliwej ochrony. 3.3.1 Microsoft Exchange Server 3.3.1.1 Agent transportu W tej sekcji można ustawić opcje ochrony przed spamem za pomocą agenta transportu. UWAGA: Agent transportu jest niedostępny w oprogramowaniu Microsoft Exchange Server 5.5. Po wybraniu opcji Włącz ochronę przed spamem przez agenta transportu można wybrać jedną z poniższych opcji jako Czynność w odniesieniu do wiadomości zawieraj ących spam: Zachowaj wiadomość — wiadomość zostanie zachowana, nawet jeśli jest oznaczona jako spam. Poddaj wiadomość kwarantannie — wiadomość oznaczona jako spam zostanie wysłana do skrzynki pocztowej kwarantanny. Usuń wiadomość — wiadomość oznaczona jako spam jest usuwana. Aby informacja o wyniku spamu wiadomości była dodawana w jej nagłówku, należy włączyć opcję Zapisuj wyniki spamu w nagłówkach zeskanowanych wiadomości. Funkcja Użyj białych list serwera Exchange Server, aby automatycznie pomij ać ochronę przed spamem pozwala na korzystanie przez produkt ESET Mail Security z określonych „białych list” serwera Exchange. Po włączeniu tej funkcji pod uwagę brane są następujące okoliczności: Adres IP serwera wysyłającego znajduje się na liście dozwolonych adresów IP serwera Exchange Odbiorca wiadomości ma ustawioną flagę pomijania ochrony przed spamem w swojej skrzynce pocztowej Adres nadawcy znajduje się na liście bezpiecznych nadawców u odbiorcy wiadomości (upewnij się, że skonfigurowano synchronizację listy bezpiecznych nadawców w środowisku serwera Exchange uwzględniającą agregację bezpiecznych list) Jeśli w wypadku wiadomości przychodzącej zachodzi dowolna z powyższych okoliczności, sprawdzanie tej wiadomości modułem antyspamowym zostanie pominięte, wiadomość nie zostanie oceniona jako SPAM i zostanie dostarczona do skrzynki pocztowej odbiorcy. Opcja Akceptuj flagę pomij ania ochrony przed spamem ustawioną w sesj i SMTP jest przydatna, gdy istnieją uwierzytelnione sesje SMTP pomiędzy serwerami Exchange z ustawionym pomijaniem modułu antyspamowego. Na przykład w przypadku posiadania serwerów w rolach Granica i Centrum nie ma potrzeby skanowania modułem antyspamowym ruchu pomiędzy nimi. Opcja Akceptuj flagę pomij ania ochrony przed spamem ustawioną w 39 sesj i SMTP jest domyślnie włączona, a stosowana wtedy, gdy flaga pomijania modułu antyspamowego jest skonfigurowana w sesji SMTP na serwerze Exchange. Po wyłączeniu opcji Akceptuj flagę pomij ania ochrony przed spamem ustawioną w sesj i SMTP przez wyczyszczenie pola wyboru produkt ESET Mail Security skanuje sesje SMTP w poszukiwaniu spamu bez względu na ustawienie omijania modułu antyspamowego na serwerze Exchange. Funkcja Włącz szarą listę aktywuje ochronę użytkowników przed spamem za pomocą następującej techniki: Agent transportu wysyła zwracaną wartość serwera SMTP „tymczasowo odrzucono” (wartość domyślna to 451/4.7.1) w odpowiedzi na każdą wiadomość e-mail od nadawcy, którego nie rozpoznaje. Wiarygodny serwer próbuje ponownie wysłać wiadomość po upływie określonego czasu. Serwery wysyłające spam zazwyczaj nie próbują ponownie dostarczać wiadomości, ponieważ jednocześnie wysyłają je na tysiące adresów i nie mogą poświęcać dodatkowego czasu na ponowne dostarczanie. Szara lista to dodatkowy sposób ochrony przed spamem. Nie wpływa ona w żaden sposób na metodę oceniania spamu przez moduł ochrony przed spamem. Podczas oceniania źródła wiadomości metoda sprawdza konfigurację list Zatwierdzone adresy IP, Ignorowane adresy IP, Bezpieczni nadawcy i Dozwolone adresy IP serwera Exchange oraz ustawienia AntispamBypass skrzynki pocztowej odbiorcy. Wiadomości e-mail wysyłane z tych adresów IP bądź przez nadawców z listy oraz wiadomości dostarczane do skrzynki pocztowej, w której włączono opcję AntispamBypass, są pomijane przez metodę wykrywania spamu za pomocą szarej listy. W polu Odpowiedź z usługi SMTP dla tymczasowo odrzuconych połączeń określona jest tymczasowa odpowiedź o odrzuceniu wysyłana do serwera SMTP w przypadku odrzucenia wiadomości. Przykładowa odpowiedź serwera SMTP: Podstawowy kod odpowiedzi Uzupełniaj ący kod stanu Opis 451 4.7.1 Przerwano żądaną czynność: błąd lokalny podczas przetwarzania Ostrzeżenie: Nieprawidłowa składnia kodów odpowiedzi serwera SMTP może powodować błędne działanie ochrony za pomocą szarej listy. W wyniku tego do programu mogą docierać wiadomości będące spamem lub też wiadomości mogą w ogóle nie być dostarczane. Limit czasu dla początkowego odrzucania połączeń (w minutach) — gdy wiadomość jest dostarczana po raz pierwszy i zostanie tymczasowo odrzucona, ten parametr definiuje okres, w którym wiadomość zawsze zostanie odrzucona (mierzony od momentu pierwszego odrzucenia). Po upływie określonego czasu wiadomość jest pomyślnie odbierana. Minimalna dozwolona wartość to 1 minuta. Okres ważności niezweryfikowanych połączeń (w godzinach) — ten parametr definiuje minimalny czas, przez który będą przechowywane dane trójki. Prawidłowo działający serwer musi wysłać ponownie żądaną wiadomość przed upływem tego czasu. Ta wartość musi być większa niż wartość Limit czasu dla początkowego odrzucania połączeń. Okres ważności zweryfikowanych połączeń (w dniach) — minimalna liczba dni, przez które są przechowywane informacje trójki. W tym czasie wiadomości e-mail od określonego nadawcy są odbierane bez opóźnień. Ta wartość musi być większa niż wartość Okres ważności niezweryfikowanych połączeń. UWAGA: Wysyłaną przez serwer SMTP odpowiedź o odrzuceniu można również skonfigurować za pomocą zmiennych systemu. 3.3.1.2 Rozwiązanie POP3 Connector i ochrona przed spamem Wersje dla systemów Microsoft Windows Small Business Server (SBS) zawierają rozwiązanie POP3 Connector, które umożliwia pobieranie przez serwer wiadomości e-mail z zewnętrznych serwerów POP3. Sposób wdrożenia tego „standardowego” rozwiązania POP3 Connector różni się w poszczególnych wersjach systemów SBS. ESET Mail Security obsługuje rozwiązanie Microsoft SBS POP3 Connector w systemie SBS 2008, a wiadomości pobrane za pomocą tego rozwiązania POP3 Connector są skanowane pod kątem obecności spamu. To rozwiązanie działa, ponieważ wiadomości są transportowane na serwer Microsoft Exchange za pośrednictwem protokołu SMTP. Jednak rozwiązanie Microsoft SBS POP3 Connector w systemie SBS 2003 nie jest obsługiwane przez ESET Mail Security, w związku z czym wiadomości nie są skanowane pod kątem spamu. Dzieje się tak, ponieważ wiadomości w rzeczywistości nie trafiają do kolejki serwera SMTP. Istnieje również wiele rozwiązań POP3 Connector innych firm. To, czy wiadomości pobrane za pomocą danego 40 rozwiązania POP3 Connector są skanowane pod kątem spamu czy nie zależy od konkretnej metody stosowanej przez rozwiązanie POP Connector do pobierania wiadomości. Na przykład rozwiązanie GFI POP2Exchange transportuje wiadomości poprzez serwer odbiorczy, w związku z czym nie są skanowane pod kątem spamu. Podobne problemy mogą występować w przypadku produktów, które transportują wiadomości w ramach sesji uwierzytelnionej (np. IGetMail), a także gdy serwer Microsoft Exchange oznacza wiadomości jako wewnętrzne, ponieważ wówczas domyślnie pomijana jest ochrona przed spamem. To ustawienie można zmienić w pliku konfiguracyjnym. Należy wyeksportować konfigurację do pliku xml, zmienić wartość ustawienia AgentASScanSecureZone na "1" i ponownie zaimportować konfigurację (szczegółowe informacje na temat importowania i eksportowania pliku konfiguracji można znaleźć w rozdziale Import i eksport ustawień 131 ). Można również spróbować wyłączyć ustawienie Akceptuj flagę pomij ania ochrony przed spamem ustawioną w sesj i SMTP w drzewie ustawień zaawansowanych dostępnym po naciśnięciu klawisza F5, w ustawieniach Ochrona serwera > Ochrona przed spamem > Microsoft Exchange Server > Agent transportu. Wówczas program ESET Mail Security będzie skanować sesję SMTP pod kątem spamu niezależnie od ustawienia pomijającego ochronę przed spamem na serwerze Exchange. 3.3.2 Aparat antyspamowy W tej sekcji można skonfigurować parametry Aparatu antyspamowego. Aby to zrobić, należy kliknąć przycisk Ustawienia... Zostanie otwarte okno, w którym można konfigurować parametry aparatu antyspamowego. Klasyfikacj a wiadomości Aparat antyspamowy programu ESET Mail Security przypisuje do każdej zeskanowanej wiadomości wynik spamu od 0 do 100. Zmieniając w tej sekcji limity wyników spamu, można wpływać na następujące kwestie: 1) Klasyfikowanie wiadomości jako spam lub nie spam. Wszystkie wiadomości, których wynik spamu jest taki sam jak wartość Wynik spamu powoduj ący uznanie wiadomości za spam lub wyższy, są uznawane za spam. Powoduje to stosowanie wobec tych wiadomości czynności określonych w Agencie transportu 39 . 2) Rejestrowanie wiadomości w dzienniku ochrony przed spamem 98 (Narzędzia > Pliki dziennika > Ochrona przed spamem). Wszystkie wiadomości, których wynik spamu jest taki sam jak wartość Próg wyniku spamu, przy którym wiadomość będzie traktowana j ako prawdopodobnie zawieraj ąca spam lub prawdopodobnie czysta lub wyższy od niej, są rejestrowane w dzienniku. 3) Sekcja statystyki antyspamowej, do które będą zaliczane omawiane wiadomości (Stan ochrony > Statystyki > Ochrona serwera poczty e-mail przed spamem): Wiadomości uznane za spam — wynik spamu wiadomości jest taki sam jak wartość Wynik spamu powoduj ący uznanie wiadomości za spam lub wyższy. Wiadomości uznane za prawdopodobny spam — wynik spamu wiadomości jest taki sam jak wartość Próg wyniku spamu, przy którym wiadomość będzie traktowana j ako prawdopodobnie zawieraj ąca spam lub prawdopodobnie czysta lub wyższy. Wiadomości uznane za prawdopodobne pożądane wiadomości — wynik spamu wiadomości jest niższy niż wartość Próg wyniku spamu, przy którym wiadomość będzie traktowana j ako prawdopodobnie zawieraj ąca spam lub prawdopodobnie czysta. Wiadomości uznane za pożądane wiadomości — wynik spamu wiadomości jest taki sam jak wartość Wynik spamu powoduj ący uznanie wiadomości za niezawieraj ącą spamu lub niższy. 3.3.2.1 Ustawienia parametrów aparatu antyspamowego 3.3.2.1.1 Analiza W tej sekcji można skonfigurować sposób analizy wiadomości pod kątem spamu oraz sposób ich późniejszego przetwarzania. Skanuj załączniki wiadomości — ta opcja pozwala wybrać, czy aparat antyspamowy ma skanować i brać pod uwagę załączniki podczas obliczania wyniku spamu. Używaj obu sekcj i MIME — aparat antyspamowy będzie analizował obie sekcje MIME wiadomości (text/plain i text/html). Jeśli wymagana jest zwiększona wydajność, można analizować tylko jedną sekcję. Jeśli ta opcja nie jest zaznaczona (jest wyłączona), analizowana jest tylko jedna sekcja. Rozmiar pamięci na obliczenie wyniku (w baj tach): — ta opcja instruuje aparat antyspamowy, aby podczas 41 przetwarzania reguł nie czytał z bufora wiadomości większej liczby bajtów niż określona. Rozmiar pamięci na obliczenie próbki (w baj tach): — ta opcja instruuje aparat antyspamowy, aby podczas obliczania sygnatury wiadomości nie czytał większej liczby bajtów niż zdefiniowana. Przydaje się to do otrzymywania spójnych sygnatur. Użyj pamięci podręcznej LegitRepute — włącza używanie pamięci podręcznej LegitRepute, aby redukować fałszywe alarmy, szczególnie w przypadku biuletynów. Konwertuj do zestawu znaków UNICODE — poprawia dokładność i wydajność w przypadku treści wiadomości zakodowanych w Unicode, szczególnie w przypadku języków z kodami dwubajtowymi, przez konwersję wiadomości na pojedyncze bajty. Użyj pamięci podręcznej domeny — pozwala na użycie pamięci podręcznej reputacji domeny. Jeśli ta opcja jest włączona, domeny są wyodrębniane z wiadomości i porównywane z pamięcią podręczną reputacji domen. 3.3.2.1.1.1 Próbki Użyj pamięci podręcznej — włącza korzystanie z pomięci podręcznej sygnatur (opcja domyślnie włączona). Włącz MSF — pozwala na użycie alternatywnego algorytmu sygnatur, znanego jako MSF. Gdy ta opcja jest włączona, można określić następujące limity i progi: Liczba wiadomości tworzących wiadomość zbiorczą: — ta opcja określa, ile podobnych wiadomości jest wymaganych, aby zostały uznane za wiadomość zbiorczą. Częstotliwość czyszczenia pamięci podręcznej : — ta opcja określa wewnętrzną zmienną, która wyznacza częstotliwość przycinania bufora MSC w pamięci. Czułość zgodności dwóch próbek: — ta opcja wyznacza procentowy próg dopasowania dwóch sygnatur. Jeżeli wartość procentowa dopasowania jest wyższa od tego progu, wiadomości są uznawane za takie same. Liczba próbek przechowywanych w pamięci: — ta opcja określa liczbę sygnatur MSF do przechowywania w pamięci. Im większa liczba, tym większe użycie pamięci, ale wyższa dokładność. 3.3.2.1.1.2 SpamCompiler Włącz usługę SpamCompiler — przyśpiesza przetwarzanie reguł, ale używa nieco więcej pamięci. Preferowana wersj a: — określa, która wersja usługi SpamCompiler będzie używana. Gdy opcja jest ustawiona na Automatycznie, aparat antyspamowy wybierze najlepszą wersję modułu. Używaj pamięci podręcznej — jeśli ta opcja jest włączona, usługa SpamCompiler zapisuje skompilowane dane na dysk zamiast do pamięci, co zmniejsza jej użycie. Lista plików w pamięci podręcznej : — ta opcja określa, które pliki reguł są kompilowane na dysk zamiast do pamięci. Można określić indeksy plików reguł, które będą przechowywane w pamięci podręcznej na dysku. Do zarządzania indeksami plików reguł służą przyciski: Dodaj ... Edytuj ... Usuń UWAGA: Dozwolonymi znakami są tylko cyfry. 42 3.3.2.1.2 Szkolenie Uruchom szkolenie w zakresie wyniku sygnatury wiadomości — włącza szkolenie w zakresie przesunięcia wyniku sygnatur. Używaj słów szkoleniowych — ta opcja określa, czy używana jest analiza subiektywnego prawdopodobieństwa znacznika tekstu. Może ona znacznie poprawić dokładność, ale wiąże się z większym użyciem pamięci i nieco mniejszą wydajnością. Liczba słów w pamięci podręcznej : — ta opcja określa liczbę znaczników tekstu, które są zapisywane w pamięci podręcznej w dowolnym momencie. Im większa liczba, tym większe użycie pamięci, ale wyższa dokładność. Aby wprowadzić wartość, należy najpierw włączyć opcję Używaj słów szkoleniowych. Używaj szkoleniowej bazy danych tylko do odczytu: — ta opcja określa, czy słowo, reguła lub szkoleniowe bazy danych sygnatur mogą być modyfikowane po wstępnym załadowaniu, czy są tylko do odczytu. Baza szkoleniowa tylko do odczytu to szybsze rozwiązanie. Czułość automatycznego szkolenia: — ustawia próg automatycznego szkolenia. Jeśli wynik wiadomości jest nie niższy od górnego progu, jest ona traktowana jako niewątpliwie zawierająca spam. Następnie używa się jej, aby wyszkolić wszystkie aktywne moduły bayesowskie (reguły i/lub słowo) z wyjątkiem nadawcy i sygnatury. Jeśli wynik wiadomości jest nie wyższy od dolnego progu, jest ona traktowana jako niewątpliwie zawierająca pseudospam. Następnie używa się jej, aby wyszkolić wszystkie aktywne moduły bayesowskie (reguły i/lub słowo) z wyjątkiem nadawcy i sygnatury. Aby wprowadzić wysoką lub niską wartość progu, należy najpierw włączyć opcję Używaj szkoleniowej bazy danych tylko do odczytu: . Minimalna ilość danych szkoleniowych: — początkowo do obliczania wyniku spamu używa się tylko wag reguł. Po osiągnięciu minimalnej ilości danych szkoleniowych dane szkoleniowe zasad/słów zastępują wagi reguł. Domyślna wartość minimalna wynosi 100. Oznacza to, że zanim dane szkoleniowe zastąpią wagi reguły, musi zostać zanalizowanych co najmniej 100 równorzędnych wiadomości niebędących spamem oraz 100 równorzędnych wiadomości, które są spamem, co razem daje 200 wiadomości. Jeśli wartość jest zbyt niska, dokładność może być niewielka z powodu niewystarczającej ilości danych. Jeśli wartość jest zbyt wysoka, dane szkoleniowe nie zostaną efektywnie wykorzystane. Jeśli wartość wynosi 0, wagi reguł będą stale ignorowane. Używaj tylko danych szkoleniowych — określa, czy przypisać danym szkoleniowym pełną wagę. Jeśli ta opcja jest włączona, obliczanie wyniku będzie się opierało wyłącznie na danych szkoleniowych. Jeśli ta opcja jest wyłączona (odznaczona), użyte zostaną zarówno reguły, jak i dane szkoleniowe. Liczba skanowanych wiadomości przed zapisaniem ich na dysku: — w czasie szkolenia aparat antyspamowy będzie przetwarzał konfigurowalną liczbę wiadomości, zanim szkoleniowa baza danych zostanie zapisana na dysku. Ta opcja określa, ile wiadomości ma zostać przetworzonych przed zapisaniem na dysku. Aby osiągnąć maksymalną wydajność, należy określić jak największą liczbę. W rzadkich przypadkach, gdy nastąpi nieoczekiwane zamknięcie programu przed zapisaniem na dysku danych z bufora, dane szkolenia przeprowadzonego po ostatnim zapisie zostaną utracone. Dane z bufora są zapisywane na dysku przy prawidłowym zamknięciu programu. Używaj danych kraj ów na potrzeby szkolenia — określa, czy krajowe informacje trasowania powinny być brane pod uwagę podczas szkolenia i oceniania wiadomości. 3.3.2.1.3 Reguły Używaj reguł — ta opcja określa, czy używane są wolniejsze reguły heurystyczne. Można znacznie poprawić dokładność, ale wiąże się to z większym użyciem pamięci i mniejszą wydajnością. Używaj rozszerzonego zestawu reguł — włącza rozszerzony zestaw reguł. Używaj drugiego rozszerzonego zestawu reguł — włącza drugie rozszerzenie zestawu reguł. Waga reguły: — ta opcja pozwala zastąpić wagi przypisane poszczególnym regułom. Lista pobranych plików reguł: — ta opcja określa, które pliki reguł są pobierane. Waga kategorii: — pozwala użytkownikowi końcowemu na dostosowanie wag kategorii używanych w sc18 oraz plikach znajdujących się na liście reguł niestandardowych. Kategoria: nazwa kategorii, aktualnie ograniczona do SPAM, PHISH, BOUNCE, ADULT, FRAUD, BLANK, FORWARD oraz REPLY. W tym polu nie jest rozróżniana wielkość liter. Wynik: dowolna liczba całkowita albo kategoria BLOCK lub APPROVE. Waga reguł pasujących do odpowiadającej kategorii zostanie pomnożona przez czynnik skali w celu uzyskania nowej obowiązującej wagi. Lista reguł niestandardowych: — pozwala użytkownikowi na określenie listy reguł niestandardowych (czyli słów/ fraz takich jak spam, pseudospam lub phishing). Pliki reguł niestandardowych zawierają frazy wyświetlone w oddzielnych wierszach w następującym formacie: phrase, type, confidence, caseSensitivity. Frazą może być 43 dowolny tekst niezawierający przecinków. Należy usunąć wszystkie przecinki występujące we frazie. Można wybrać jeden z typów: SPAM, PHISH, BOUNCE, ADULT lub FRAUD. Jeśli określony zostanie typ inny niż wymienione powyżej, kategoria TYPE jest automatycznie traktowana jako SPAM. Kategoria Confidence może mieć wartość od 1 do 100. Jeśli określono typ SPAM, wartość 100 oznacza większe prawdopodobieństwo spamu. Jeśli określono typ PHISH, wartość 100 oznacza większe prawdopodobieństwo ataku typu „phishing”. Jeśli określono typ BOUNCE, wartość 100 oznacza większe prawdopodobieństwo, że fraza odnosi się do zwróceń. Wyższe prawdopodobieństwo może mieć wpływ na ostateczny wynik. Wartość wynosząca 100 to przypadek szczególny. Jeśli określono typ SPAM, wartość 100 przypisze wiadomości wynik 100. Jeśli określono typ PHISH, wartość 100 przypisze wiadomości wynik 100. Jeśli określono typ BOUNCE, wartość 100 przypisze wiadomości wynik 100. Jak zwykle, biała lista zastępuje czarną. Wartość caseSensitivity wynosząca 1 oznacza, że we frazie będzie rozróżniana wielkość liter. Wartość 0 oznacza, że we frazie nie będzie rozróżniana wielkość liter. Przykłady: spamowanie jest fajne, SPAM, 100,0 phishing jest fajny, PHISH, 90,1 zwrot do nadawcy, BOUNCE, 80,0 Pierwszy wiersz oznacza, że wszystkie wariacje frazy „spamowanie jest fajne" są postrzegane jako SPAM z prawdopodobieństwem wynoszącym 100. Wielkość liter we frazie nie jest rozróżniana. Drugi wiersz oznacza, że wszystkie wariacje frazy „phishing jest fajny" są postrzegane jako PHISH z prawdopodobieństwem wynoszącym 90. Wielkość liter we frazie jest rozróżniana. Trzeci wiersz oznacza, że wszystkie wariacje frazy „zwrot do nadawcy" są postrzegane jako BOUNCE z prawdopodobieństwem wynoszącym 80. Wielkość liter we frazie nie jest rozróżniana. Wyczyść starsze reguły po aktualizacj i — domyślnie aparat antyspamowy wyczyści pliki starszej reguły znajdujące się w katalogu konfiguracyjnym, gdy nowy plik zostanie pobrany z sieci SpamCatcher. Niektórzy użytkownicy aparatu antyspamowego mogą chcieć zachować starsze pliki reguł. Można to zrobić, wyłączając funkcję czyszczenia. Wyświetl powiadomienie po udanej aktualizacj i reguł — 3.3.2.1.3.1 Waga reguły Można określić indeksy plików reguł i ich wagi. W celu dodania wagi reguły należy nacisnąć przycisk Dodaj .... Do modyfikacji istniejącej wagi służy przycisk Edytuj .... Aby usunąć wagę, należy nacisnąć przycisk Usuń. Należy określić wartości Indeks: i Waga: . 3.3.2.1.3.2 Lista pobranych plików reguł Można określić indeksy plików reguł, które powinny zostać pobrane na dysk. Do zarządzania indeksami plików reguł służą przyciski Dodaj , Edytuj i Usuń. 3.3.2.1.3.3 Waga kategorii Można określić kategorie reguł i ich wagi. Do zarządzania kategoriami i ich wagami służą przyciski Dodaj ..., Edytuj ... i Usuń. Aby dodać wagę kategorii, należy wybrać z listy Kategoria: kategorię. Dostępne są następujące kategorie: SPAM Ataki typu „phishing” Raport o niedostarczeniu Wiadomości o treści dla dorosłych Wiadomości spreparowane Wiadomości puste Wiadomości przekazywane Wiadomości z odpowiedziami Następnie należy wybrać czynność: Zezwól Blokuj Waga: 44 3.3.2.1.3.4 Lista reguł niestandardowych Możliwe jest używanie plików reguł niestandardowych, które zawierają frazy. Są to ogólnie pliki .txt, a szczegółowe informacje oraz format fraz można znaleźć w temacie Reguły 43 (sekcja Lista reguł niestandardowych). Aby użyć pliki zawierające reguły niestandardowe, które będą używane podczas analizy wiadomości, należy umieścić je w następującej lokalizacji: w przypadku systemu Windows Server 2008 i nowszych ścieżka to: C:\ProgramData\ESET\ESET Mail Security\ServerAntispam w przypadku systemu Windows Server 2003 i starszych ścieżka to: C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam W celu załadowania plików należy nacisnąć przycisk ... (przeglądanie), przejść do wspomnianej wyżej lokalizacji i wybrać plik tekstowy (*.txt). Do zarządzania listą reguł niestandardowych służą przyciski Dodaj , Edytuj i Usuń. UWAGA: Plik .txt zawierający reguły niestandardowe należy umieścić w folderze ServerAntispam, gdyż w przeciwnym wypadku ten plik nie zostanie załadowany. 3.3.2.1.4 Filtrowanie W tej sekcji można skonfigurować listy elementów dozwolonych, zablokowanych i ignorowanych, określając takie kryteria, jak adres lub zakres IP, nazwa domeny, adres e-mail itp. Aby dodać, zmodyfikować lub usunąć kryterium, wystarczy po prostu przejść do listy, którą chce się zarządzać, i kliknąć odpowiedni przycisk. 3.3.2.1.4.1 Dozwoleni nadawcy Biała lista nadawców i domen może zawierać adresy e-mail i domeny. Adresy są wpisywane w formacie „skrzynka@domena”, a domeny po prostu w formacie „domena”. UWAGA: Początkowe i końcowe znaki odstępu są ignorowane, wyrażenia regularne nie są obsługiwane, a gwiazdka „*” jest też ignorowana. 3.3.2.1.4.2 Zablokowani nadawcy Czarna lista nadawców i domen może zawierać adresy e-mail i domeny. Adresy są wpisywane w formacie „skrzynka@domena”, a domeny po prostu w formacie „domena”. UWAGA: Początkowe i końcowe znaki odstępu są ignorowane, wyrażenia regularne nie są obsługiwane, a gwiazdka „*” jest też ignorowana. 3.3.2.1.4.3 Dozwolone adresy IP Ta opcja pozwala na określenie adresów IP, które powinny być dozwolone. Zakresy można określać na trzy sposoby: a) początkowy adres IP–końcowy adres IP b) Adres IP i maska sieciowa c) Adres IP Jeżeli pierwszy nieignorowany adres IP w nagłówkach Received: pasuje do dowolnego adresu z tej listy, wiadomość otrzymuje wynik 0 i nie są przeprowadzane żadne inne testy. 45 3.3.2.1.4.4 Ignorowane adresy IP Ta opcja pozwala na określenie adresów IP, które powinny być ignorowane podczas testów RBL. Bezwarunkowo zawsze są ignorowane następujące adresy: 10.0.0.0/8, 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0 Zakresy można określać na trzy sposoby: a) początkowy adres IP–końcowy adres IP b) Adres IP i maska sieciowa c) Adres IP 3.3.2.1.4.5 Zablokowane adresy IP Ta opcja pozwala na określenie adresów IP, które powinny być zablokowane. Zakresy można określać na trzy sposoby: a) początkowy adres IP–końcowy adres IP b) Adres IP i maska sieciowa c) Adres IP Jeżeli dowolny adres IP w nagłówkach Received: pasuje do dowolnego adresu z tej listy, wiadomość otrzymuje wynik 100 i nie są przeprowadzane żadne inne testy. 3.3.2.1.4.6 Domeny dozwolone Ta opcja pozwala na określenie zawartych w treści domen i adresów IP, które powinny być zawsze dozwolone. 3.3.2.1.4.7 Domeny ignorowane Ta opcja pozwala na określenie zawartych w treści domen, które powinny być zawsze wyłączone z testów DNSBL i ignorowane. 3.3.2.1.4.8 Domeny zablokowane Ta opcja pozwala na określenie zawartych w treści domen i adresów IP, które powinny być zawsze zablokowane. 3.3.2.1.4.9 Sfałszowani nadawcy Pozwala blokować nadawców spamu, którzy fałszują nazwę domeny użytkownika i innych domen. Przykładowo, nadawcy spamu często używają nazwy domeny odbiorcy w polu Od:. Ta lista pozwala określić, które serwery poczty elektronicznej mogą używać określonych nazw domen w polu Od:. 3.3.2.1.5 Weryfikacj a Weryfikacja jest dodatkową funkcją ochrony przed spamem. Pozwala ona na weryfikowanie wiadomości przez zewnętrzne serwery, zgodnie ze zdefiniowanymi kryteriami. Wybierz listę na drzewie konfiguracji, aby skonfigurować kryteria weryfikacji. Listy zostały wymienione poniżej: Lista RBL (Realtime Blackhole List) Lista LBL (Last Blackhole List) Lista DNSBL (DNS Blocklist) 46 3.3.2.1.5.1 Lista RBL (Realtime Blackhole List) Serwery RBL: — określa listę serwerów RBL (Realtime Blackhole List) do odpytywania podczas analizowania wiadomości. Więcej informacji można znaleźć w temacie dotyczącym listy RBL w niniejszym dokumencie. Czułość weryfikacj i z użyciem listy RBL: — ponieważ testy RBL mogą wprowadzać opóźnienie i spadek wydajności, ta opcja pozwala przeprowadzać je warunkowo, w zależności od wyniku przed testem RBL. Jeżeli wynik jest większy niż górna wartość, odpytywane są tylko te serwery RBL, które mogą przynieść wynik poniżej górnej wartości. Jeżeli wynik jest mniejszy niż dolna wartość, odpytywane są tylko te serwery RBL, które mogą przynieść wynik powyżej dolnej wartości. Jeżeli wynik jest ze środkowego zakresu, odpytywane są wszystkie serwery RBL. Limit wykonywania żądań listy RBL (w sekundach): — ta opcja pozwala na określenie maksymalnego limitu czasu do zakończenia wszystkich zapytań RBL. Stosowane są tylko odpowiedzi RBL od tych serwerów RBL, które odpowiedzą na czas. Jeżeli wartość wynosi „0”, nie jest wymuszany żaden limit. Maksymalna liczba adresów zweryfikowanych z użyciem listy RBL: — ta opcja pozwala na ograniczenie liczby adresów IP, które są odpytywane względem serwera RBL. Należy zauważyć, że całkowita liczba zapytań RBL to liczba adresów IP w nagłówkach Received: (nie większa od maksymalnej liczby adresów IP sprawdzanych względem RBL) pomnożona przez liczbę serwerów RBL określonych na liście RBL. Jeśli wartość wynosi „0”, sprawdzana jest nieograniczona liczba otrzymanych nagłówków. Należy zauważyć, że adresy IP, które pasują do opcji listy ignorowanych adresów IP, nie wliczają się do limitu adresów IP listy RBL. Do zarządzania listą służą przyciski Dodaj ..., Edytuj ... i Usuń. Lista składa się z trzech kolumn: Adres Odpowiedź Wynik 3.3.2.1.5.2 Lista LBL (Last Blackhole List) Serwery LBL: — adres IP ostatniego połączenia jest odpytywany względem serwera LBL. Można określić inne wyszukiwane DNS dla ostatniego przychodzącego połączenia IP. W przypadku ostatniego przychodzącego połączenia IP zamiast listy RBL jest odpytywana lista LBL. W przeciwnym wypadku opcje listy RBL, takie jak próg RBL, są stosowane także do listy LBL. Adresy IP nieweryfikowane z użyciem listy LBL: — jeżeli ostatni połączony adres IP pasuje do adresu IP z listy, ten adres IP jest odpytywany względem serwerów RBL zamiast serwerów LBL. Do zarządzania listą służą przyciski Dodaj ..., Edytuj ... i Usuń. Lista składa się z trzech kolumn: Adres Odpowiedź Wynik Tutaj można określić adresy IP, które nie będą sprawdzane względem listy LBL. Do zarządzania listą adresów służą przyciski Dodaj ..., Edytuj ... i Usuń. 3.3.2.1.5.3 Lista DNSBL (DNS Block List) Serwery DNSBL: — określa listę serwerów DNSBL (DNS Blocklist) odpytywanych o domeny i adresy IP uzyskane z treści wiadomości. Czułość weryfikacj i z użyciem listy DNSBL: — jeżeli wynik jest większy niż górna wartość, odpytywane są tylko te serwery DNSBL, które mogą zwrócić wynik poniżej górnej wartości. Jeżeli wynik jest mniejszy niż dolna wartość, odpytywane są tylko te serwery DNSBL, które mogą zwrócić wynik powyżej dolnej wartości. Jeżeli wynik jest ze środkowego zakresu, odpytywane są wszystkie serwery DNSBL. Limit wykonywania żądań listy DNSBL (w sekundach): — pozwala na określenie maksymalnego limitu czasu do zakończenia wszystkich zapytań DNSBL. Maksymalna liczba domen zweryfikowanych z użyciem listy DNSBL: — pozwala na ograniczenie liczby domen i 47 adresów IP odpytywanych względem serwera DNS Blocklist. Do zarządzania listą służą przyciski Dodaj ..., Edytuj ... i Usuń. Lista składa się z trzech kolumn: Adres Odpowiedź Wynik 3.3.2.1.6 DNS Użyj pamięci podręcznej — włącza buforowanie wewnętrzne żądań DNS. Liczba żądań DNS przechowywanych w pamięci: — ogranicza liczbę wpisów w wewnętrznej pamięci podręcznej DNS. Zapisz pamięć podręczną na dysku — jeśli ta opcja jest włączona, pamięć podręczna DNS będzie zapisywać wpisy na dysku przy wyłączaniu i odczytywać je z dysku podczas inicjowania. Adres serwera DNS: — teraz można jawnie określić serwery DNS, aby nadpisać domyślne. Bezpośredni dostęp do DNS: — gdy ta opcja ma wartość Tak, a serwer DNS nie jest określony, aparat antyspamowy będzie kierował żądania LiveFeed bezpośrednio do serwerów LiveFeed. Ta opcja jest ignorowana, jeżeli określony jest serwer DNS, ponieważ ma on pierwszeństwo. Ta opcja powinna mieć wartość Tak, jeśli bezpośrednie żądania są bardziej wydajne niż domyślne serwery DNS. Okres przechowywania żądań DNS (w sekundach): — ta opcja pozwala na określenie minimalnej wartości TTL dla wpisów w wewnętrznej pamięci podręcznej DNS aparatu antyspamowego. Ta opcja jest określana w sekundach. W przypadku odpowiedzi DNS o wartości TTL mniejszej niż określona minimalna wartość TTL pamięć podręczna aparatu antyspamowego będzie używać określonej wartości TTL zamiast wartości TTL z odpowiedzi DNS. 3.3.2.1.7 Wynik Włącz historię wyników — włącza śledzenie poprzednich wyników dla powtarzających się nadawców. Zatrzymaj analizę, gdy próg wyniku spamu zostanie przekroczony — ta opcja pozwala użytkownikowi na skonfigurowanie aparatu antyspamowego tak, aby przerywał analizę wiadomości w momencie osiągnięcia danego wyniku. Liczba reguł i innych procedur sprawdzania może się zmniejszyć, zwiększając wydajność. Używaj przyśpieszonej analizy, zanim próg wyniku niezarażonej wiadomości zostanie osiągnięty — ta opcja pozwala skonfigurować aparat antyspamowy tak, aby pomijał procedury sprawdzające wolnej reguły, jeśli istnieje prawdopodobieństwo, że wiadomość jest pseudospamem. Klasyfikacj a wiadomości Wartość wyniku, od j akiej wiadomość zostaj e uznana za SPAM: — aparat antyspamowy przypisuje sprawdzonej wiadomości wynik od 0 do 100. Określenie progów wyniku ma wpływ na to, które wiadomości są uznawane za SPAM, a które nie. Po wprowadzeniu nieprawidłowych wartości skuteczność aparatu antyspamowego może się pogorszyć. Próg wyniku, od którego wiadomość j est traktowana j ako prawdopodobnie zawieraj ąca SPAM lub prawdopodobnie czysta: — aparat antyspamowy przypisuje sprawdzonej wiadomości wynik od 0 do 100. Określenie progów wyniku ma wpływ na to, które wiadomości są uznawane za SPAM, a które nie. Po wprowadzeniu nieprawidłowych wartości skuteczność aparatu antyspamowego może się pogorszyć. Wartość wyniku, do której wiadomość zostaj e uznana za j ednoznacznie czystą: — aparat antyspamowy przypisuje sprawdzonej wiadomości wynik od 0 do 100. Określenie progów wyniku ma wpływ na to, które wiadomości są uznawane za SPAM, a które nie. Po wprowadzeniu nieprawidłowych wartości skuteczność aparatu antyspamowego może się pogorszyć. 48 3.3.2.1.8 Wabik na spam Adresy spamu: — jeśli adres RCPT TO: z koperty serwera SMTP zgadza się z adresem e-mail na tej liście, plik statystyki zapisze tokeny w wiadomości e-mail jako wysyłane na adres wabika. Adresy muszą być w pełni zgodne, wielkość liter jest ignorowana. Symbole wieloznaczne nie są obsługiwane. Adresy uznane za nieistniej ące: — jeśli adres RCPT TO: z koperty serwera SMTP zgadza się z adresem e-mail na tej liście, plik statystyki zapisze tokeny w wiadomości e-mail jako wysyłane na nieistniejący adres. Adresy muszą być w pełni zgodne, wielkość liter jest ignorowana. Symbole wieloznaczne nie są obsługiwane. 3.3.2.1.8.1 Adresy wabika na spam Można określić adresy e-mail, które będą jedynie otrzymywać spam. W celu dodania adresu e-mail należy wpisać go w standardowym formacie i nacisnąć przycisk Dodaj . Do modyfikacji istniejącego adresu e-mail służy przycisk Edytuj . Aby usunąć adres, należy nacisnąć przycisk Usuń. 3.3.2.1.8.2 Adresy uznane za nieistniej ące Można określić adresy e-mail, które będą wyglądać na zewnątrz jak nieistniejące. W celu dodania adresu e-mail należy wpisać go w standardowym formacie i nacisnąć przycisk Dodaj . Do modyfikacji istniejącego adresu e-mail służy przycisk Edytuj . Aby usunąć adres, należy nacisnąć przycisk Usuń. 3.3.2.1.9 Komunikacj a Czas trwania poj edynczego żądania SpamLabs (w sekundach): — limit trwania pojedynczego żądania do ochrony przed spamem SpamLabs. Wartość jest określana w pełnych sekundach. Wartość „0” wyłącza tę funkcję i nie jest stosowany żaden limit. Użyj protokołu v.4x: — komunikacja z ochroną przed spamem SpamLabs w celu wyznaczenia wyniku odbywa się przez stary, wolniejszy protokół v4.x. Jeśli ta opcja ma wartość Automatycznie, aparat antyspamowy będzie automatycznie używał funkcji netcheck jako rozwiązania awaryjnego do zapytań LiveFeed. Zakres użycia protokołu v4.x: — ponieważ sieci mogą wprowadzać opóźnienie i spadek wydajności, ta opcja pozwala na przeprowadzania testów sieciowych warunkowo, w zależności od wyniku. Zapytania sieciowe są wysyłane tylko wtedy, gdy wynik jest z domkniętego zakresu określonego przez tę opcję. Adres serwera LiveFeed: — określa, do którego serwera mają być wysyłane zapytania dotyczące żądań LiveFeed. Okres przechowywania żądań LiveFeed (w sekundach): — ta opcja pozwala na określenie minimalnej wartości TTL dla wpisów w wewnętrznej pamięci podręcznej LiveFeed aparatu antyspamowego. Ta opcja jest określana w sekundach. W przypadku odpowiedzi LiveFeed o wartości TTL mniejszej niż określona minimalna wartość TTL pamięć podręczna aparatu antyspamowego będzie używać określonej wartości TTL zamiast wartości TTL z odpowiedzi LiveFeed. Typ uwierzytelniania serwera proxy: — określa, jaki typ uwierzytelniania proxy HTTP powinien zostać zastosowany. 3.3.2.1.10 Wydaj ność Maksymalny rozmiar używanego stosu wątków: — określa maksymalny rozmiar używanego stosu wątków. Jeżeli rozmiar stosu wątków ma skonfigurowaną wartość 64KB, zmienna ta powinna mieć wartość 100 lub mniejszą. Jeżeli rozmiar stosu wątków ma skonfigurowaną wartość większą niż 1MB, zmienna ta powinna mieć wartość 10000 lub mniejszą. Jeżeli ta zmienna ma ustawioną wartość poniżej 200, dokładność może zostać zmniejszona o kilka procent. Wymagana przepustowość (w wiadomościach na sekundę): — ta opcja pozwala na określenie żądanej przepustowości w wiadomościach na sekundę. Aparat antyspamowy będzie próbował osiągnąć ten poziom dzięki optymalizacji uruchamianych reguł. Dokładność może zostać zmniejszona. Wartość 0 wyłącza tę opcję. Połącz pliki przyrostowe w j eden — aparat antyspamowy domyślnie scala wiele plików przyrostowych i plik pełny w jeden zaktualizowany plik pełny. Ma to na celu zmniejszenie liczby plików w katalogu konfiguracyjnym. Pobieraj tylko pliki przyrostowe — aparat antyspamowy domyślnie próbuje pobrać najbardziej wydajną pod względem rozmiaru kombinację pliku pełnego i przyrostowego. Można wymóc pobieranie przez aparat antyspamowy tylko pliku przyrostowego. W tym celu należy nadać tej opcji wartość Tak. 49 Maksymalny rozmiar plików przyrostowych: — w celu zmniejszenia użycia procesora podczas aktualizacji plików reguł pliki pamięci podręcznej na dysku (sc*.tmp) nie są już odświeżane dla każdej pojedynczej aktualizacji reguły. Zamiast tego są one odświeżane wtedy, gdy jest nowszy plik sc*.bin.full lub gdy suma plików sc*.bin.incr wzrasta poza liczbę bajtów określoną jako maksymalny rozmiar plików przyrostowych. Lokalizacj a plików tymczasowych: — ten parametr wyznacza miejsce, gdzie aparat antyspamowy tworzy pliki tymczasowe. 3.3.2.1.11 Ustawienia regionalne Lista j ęzyków macierzystych: — ta opcja pozwala wybrać języki preferowane w wiadomościach e-mail. Kody państw to dwuliterowe kody języka zgodne z normą ISO-639. Lista kraj ów macierzystych: — ta opcja pozwala zdefiniować listę krajów macierzystych. Wiadomość wysłana z kraju, który nie znajduje się na tej liście, będzie punktowana bardziej rygorystycznie. Jeśli ta opcja jest wyłączona, dodatkowe punkty nie będą naliczane. Lista zablokowanych kraj ów: — pozwala na blokowanie według krajów. Jeśli adres IP w otrzymanym nagłówku odpowiada krajowi z listy, wiadomość e-mail zostanie uznana za spam. Kody krajów nie są stosowane do adresów nadawcy. Należy zwrócić uwagę, że wiadomość mogła trafić do komputerów w wielu krajach, zanim dotarła do docelowego odbiorcy. Ta opcja jest dokładna tylko w 98%, więc blokowanie krajów może być przyczyną fałszywych alarmów. Lista zablokowanych zestawów znaków: — pozwala na blokowanie według zestawu znaków. Domyślna wartość wyniku spamu wynosi 100, ale można ją dostosować do każdego zablokowanego zestawu znaków z osobna. Należy zwrócić uwagę, że mapowanie z języka do zestawu znaków nie jest w 100% dokładne, więc blokowanie zestawów znaków może być przyczyną fałszywych alarmów. 3.3.2.1.11.1 Lista j ęzyków macierzystych Można określić języki uważane za macierzyste, czyli takie, w których preferuje się odbieranie wiadomości. Aby dodać język macierzysty, należy go wybrać z kolumny Kody j ęzyka: i nacisnąć przycisk Dodaj . W ten sposób język zostanie przeniesiony do kolumny Języki macierzyste. Aby usunąć język z kolumny Języki macierzyste, należy wybrać jego kod i nacisnąć przycisk Usuń. Blokuj j ęzyki inne niż macierzyste: — ta opcja określa, czy języki niewymienione w kolumnie języków macierzystych będą blokowane, czy nie. Dostępne są trzy opcje: Tak Nie Automatycznie Lista kodów języków (na podstawie normy ISO 639): afrykanerski amharski arabski białoruski bułgarski kataloński czeski walijski duński niemiecki grecki angielski esperanto hiszpański estoński baskijski perski fiński francuski fryzyjski irlandzki 50 af am ar be bg ca cs cy da de el en eo es et eu fa fi fr fy ga gaelicki hebrajski hindi chorwacki węgierski ormiański indonezyjski islandzki włoski japoński gruziński koreański łaciński litewski łotewski marathi malajski nepalski holenderski norweski polski portugalski keczua retoromański rumuński rosyjski sanskryt szkocki słowacki słoweński albański serbski szwedzki kiswahili tamilski tajski tagalski turecki ukraiński wietnamski jidysz chiński gd he hi hr hu hy id is it ja ka ko la lt lv mr ms ne nl no pl pt qu rm ro ru sa sco sk sl sq sr sv sw ta th tl tr uk vi yi zh 3.3.2.1.11.2 Lista kraj ów macierzystych Można określić kraje macierzyste, czyli takie, z których preferuje się odbieranie wiadomości. Aby dodać kraj macierzysty, należy wybrać go z kolumny Kod kraj u: i nacisnąć przycisk Dodaj . W ten sposób kraj zostanie przeniesiony do kolumny Kraj e macierzyste. Aby usunąć kraj z kolumny Kraj e macierzyste, należy wybrać kod kraju i nacisnąć przycisk Usuń. Lista kodów krajów (na podstawie normy ISO 3166): AFGANISTAN WYSPY ALANDZKIE ALBANIA ALGIERIA SAMOA AMERYKAŃSKIE ANDORA ANGOLA ANGUILLA ANTARKTYKA ANTIGUA I BARBUDA ARGENTYNA ARMENIA AF AX AL DZ AS AD AO AI AQ AG AR AM 51 ARUBA AUSTRALIA AUSTRIA AZERBEJDŻAN BAHAMY BAHRAJN BANGLADESZ BARBADOS BIAŁORUŚ BELGIA BELIZE BENIN BERMUDY BHUTAN BOLIWIA BOŚNIA I HERCEGOWINA BOTSWANA WYSPA BOUVETA BRAZYLIA BRYTYJSKIE TERYTORIUM OCEANU INDYJSKIEGO BRUNEI DARUSSALAM BUŁGARIA BURKINA FASO BURUNDI KAMBODŻA KAMERUN KANADA REPUBLIKA ZIELONEGO PRZYLĄDKA KAJMANY REPUBLIKA ŚRODKOWOAFRYKAŃSKA CZAD CHILE CHINY WYSPA BOŻEGO NARODZENIA WYSPY KOKOSOWE KOLUMBIA KOMORY KONGO DEMOKRATYCZNA REPUBLIKA KONGA WYSPY COOKA KOSTARYKA CÔTE D'IVOIRE CHORWACJA KUBA CYPR CZECHY DANIA DŻIBUTI DOMINIKA DOMINIKANA EKWADOR EGIPT SALWADOR GWINEA RÓWNIKOWA ERYTREA ESTONIA ETIOPIA FALKLANDY (MALWINY) WYSPY OWCZE FIDŻI FINLANDIA 52 AW AU AT AZ BS BH BD BB BY BE BZ BJ BM BT BO BA BW BV BR IO BN BG BF BI KH CM CA CV KY CF TD CL CN CX CC CO KM CG CD CK CR CI HR CU CY CZ DK DJ DM DO EC EG SV GQ ER EE ET FK FO FJ FI FRANCJA GUJANA FRANCUSKA POLINEZJA FRANCUSKA FRANCUSKIE TERYTORIA POŁUDNIOWE GABON GAMBIA GRUZJA NIEMCY GHANA GIBRALTAR GRECJA GRENLANDIA GRENADA GWADELUPA GUAM GWATEMALA GWINEA GWINEA BISSAU GUJANA HAITI WYSPY HEARD I MCDONALDA STOLICA APOSTOLSKA (PAŃSTWO WATYKAŃSKIE) HONDURAS HONGKONG WĘGRY ISLANDIA INDIE INDONEZJA ISLAMSKA REPUBLIKA IRANU IRAK IRLANDIA IZRAEL WŁOCHY JAMAJKA JAPONIA JORDANIA KAZACHSTAN KENIA KIRIBATI KOREAŃSKA REPUBLIKA LUDOWODEMOKRATYCZNA REPUBLIKA KOREI KUWEJT KIRGISTAN LAOTAŃSKA REPUBLIKA LUDOWODEMOKRATYCZNA ŁOTWA LIBAN LESOTHO LIBERIA LIBIJSKA ARABSKA DŻAMAHIRIJA LIECHTENSTEIN LITWA LUKSEMBURG MAKAU BYŁA JUGOSŁOWIAŃSKA REPUBLIKA MACEDONII MADAGASKAR MALAWI MALEZJA MALEDIWY FR GF PF TF GA GM GE DE GH GI GR GL GD GP GU GT GN GW GY HT HM VA HN HK HU IS IN ID IR IQ IE IL IT JM JP JO KZ KE KI KP KR KW KG LA LV LB LS LR LY LI LT LU MO MK MG MW MY MV 53 MALI MALTA WYSPY MARSHALLA MARTYNIKA MAURETANIA MAURITIUS MAJOTTA MEKSYK SFEDEROWANE STANY MIKRONEZJI REPUBLIKA MOŁDOWY MONAKO MONGOLIA MONTSERRAT MAROKO MOZAMBIK MYANMAR NAMIBIA NAURU NEPAL HOLANDIA ANTYLE HOLENDERSKIE NOWA KALEDONIA NOWA ZELANDIA NIKARAGUA NIGER NIGERIA NIUE NORFOLK MARIANY PÓŁNOCNE NORWEGIA OMAN PAKISTAN PALAU TERYTORIUM PALESTYNY, OKUPOWANE PANAMA PAPUA-NOWA GWINEA PARAGWAJ PERU FILIPINY PITCAIRN POLSKA PORTUGALIA PORTORYKO KATAR REUNION RUMUNIA FEDERACJA ROSYJSKA RWANDA WYSPA ŚWIĘTEJ HELENY SAINT CHRISTOPHER (ST KITTS) I NEVIS SAINT LUCIA SAINT-PIERRE I MIQUELON SAINT VINCENT I GRENADYNY SAMOA SAN MARINO WYSPY ŚWIĘTEGO TOMASZA I KSIĄŻĘCA ARABIA SAUDYJSKA SENEGAL SERBIA I CZARNOGÓRA SESZELE SIERRA LEONE SINGAPUR 54 ML MT MH MQ MR MU YT MX FM MD MC MN MS MA MZ MM NA NR NP NL AN NC NZ NI NE NG NU NF MP NO OM PK PW PS PA PG PY PE PH PN PL PT PR QA RE RO RU RW SH KN LC PM VC WS SM ST SA SN CS SC SL SG SŁOWACJA SŁOWENIA WYSPY SALOMONA SOMALIA REPUBLIKA POŁUDNIOWEJ AFRYKI GEORGIA POŁUDNIOWA I SANDWICH POŁUDNIOWY HISZPANIA SRI LANKA SUDAN SURINAM SVALBARD I JAN MAYEN SUAZI SZWECJA SZWAJCARIA ARABSKA REPUBLIKA SYRYJSKA TAJWAN, PROWINCJA CHIN TADŻYKISTAN ZJEDNOCZONA REPUBLIKA TANZANII TAJLANDIA TIMOR-LESTE TOGO TOKELAU TONGA TRYNIDAD I TOBAGO TUNEZJA TURCJA TURKMENISTAN TURKS I CAICOS TUVALU UGANDA UKRAINA ZJEDNOCZONE EMIRATY ARABSKIE ZJEDNOCZONE KRÓLESTWO STANY ZJEDNOCZONE ODLEGŁE MNIEJSZE WYSPY STANÓW ZJEDNOCZONYCH URUGWAJ UZBEKISTAN VANUATU PAŃSTWO WATYKAŃSKIE (STOLICA APOSTOLSKA) WENEZUELA WIETNAM BRYTYJSKIE WYSPY DZIEWICZE WYSPY DZIEWICZE STANÓW ZJEDNOCZONYCH WALLIS I FUTUNA SAHARA ZACHODNIA JEMEN ZAIR (DEMOKRATYCZNA REPUBLIKA KONGA) ZAMBIA ZIMBABWE SK SI SB SO ZA GS ES LK SD SR SJ SZ SE CH SY TW TJ TZ TH TL TG TK TO TT TN TR TM TC TV UG UA AE GB US UM UY UZ VU VA VE VN VG VI WF EH YE CD ZM ZW 55 3.3.2.1.11.3 Lista zablokowanych kraj ów Można określić kraje do zablokowania, aby nie otrzymywać wiadomości z nich pochodzących. Aby dodać kraj do listy Zablokowane kraj e:, należy wybrać go z kolumny Kod kraj u: i nacisnąć przycisk Dodaj . Aby usunąć kraj z listy Zablokowane kraj e:, należy wybrać kod kraju i nacisnąć przycisk Usuń. Lista kodów krajów znajduje się w temacie Lista krajów macierzystych 51 . 3.3.2.1.11.4 Lista zablokowanych zestawów znaków Można określić zestawy znaków do zablokowania. Wiadomości z tymi zestawami znaków nie będą odbierane. Aby dodać zestaw znaków, należy wybrać go z kolumny Zestawy znaków: i nacisnąć przycisk Dodaj . W ten sposób zestaw znaków zostanie przeniesiony do kolumny Zablokowane zestawy znaków: . Aby usunąć zestaw znaków z kolumny Zablokowane zestawy znaków:, należy wybrać kod zestawu znaków i nacisnąć przycisk Usuń. Podczas dodawania zestawu znaków do listy zablokowanych można określić własną wartość wyniku spamu dla danego zestawu znaków. Domyślą wartością jest 100. Można zdefiniować oddzielne wyniki dla poszczególnych zestawów znaków. 3.3.2.1.12 Pliki dziennika Włącz szczegółowe zapisywanie w dzienniku — włącza zapisywane w dzienniku ze zwiększoną dokładnością. Przekierowanie plików wyj ściowych: — przekierowuje plik wyjściowy dziennika do katalogu określonego w tym polu. Można nacisnąć przycisk ..., aby zamiast wpisywania katalogu, wybrać go, przeglądając. 3.3.2.1.13 Statystyki Włącz zapisywanie danych statystycznych w dzienniku — zapisuje adresy IP, domeny, adresy URL, podejrzane słowa itp. w pliku konfiguracyjnym. Wpisy dziennika mogą być automatycznie wysyłane na serwery analizy aparatu antyspamowego. Wpisy dziennika można przekonwertować do formatu tekstowego, aby można je było przeglądać. Wysyłaj dane statystyczne do analizy — uruchamia wątek automatycznego wysyłania plików z danymi statystycznymi na serwer analizy aparatu antyspamowego. Adres serwera analizy: — adres URL, na który będą wysyłane pliki z danymi statystycznymi. 3.3.2.1.14 Opcj e Automatyczne konfigurowanie: — określa opcje na podstawie podanych przez użytkownika wymagań dotyczących systemu, wydajności i zasobów. Utwórz plik konfiguracyj ny — tworzy plik antispam.cfg zawierający konfigurację aparatu antyspamowego. Plik można znaleźć w folderze C:\ProgramData\ESET\ESET Mail Security\ServerAntispam (Windows Server 2008) lub C: \Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam (Windows Server 2000 i 2003). 56 3.3.3 Alerty i powiadomienia Każdą wiadomość e-mail skanowaną przez program ESET Mail Security i oznaczoną jako spam można oflagować, dodając oznaczenie w temacie wiadomości. Domyślne oznaczenie to [SPAM], ale dodawany tekst może zostać zdefiniowany przez użytkownika. UWAGA: Dodając szablon do tematu wiadomości, można również używać zmiennych systemowych. 3.4 Często zadawane pytania P: Po zainstalowaniu oprogramowania EMSX z ochroną przed spamem wiadomości nie są dostarczane do skrzynek pocztowych. O: Jeśli włączono szarą listę, taki sposób działania jest standardowy. W ciągu pierwszych godzin działania oprogramowania wiadomości e-mail mogą być dostarczane z kilkugodzinnym opóźnieniem. Jeśli problem nie ustąpi przez dłuższy czas, zaleca się wyłączenie szarej listy (lub zmianę jej konfiguracji). P: Czy podczas skanowania załączników wiadomości e-mail program VSAPI skanuje również treść tych wiadomości? O: W oprogramowaniu Microsoft Exchange Server 2000 z dodatkiem SP2 i jego nowszych wersjach program VSAPI skanuje również treść wiadomości e-mail. P: Dlaczego wiadomości są nadal skanowane po wyłączeniu opcji VSAPI? O: Zmiany ustawień programu VSAPI są wprowadzane asynchronicznie. Oznacza to, że aby zmodyfikowane ustawienia programu VSAPI zaczęły działać, muszą one zostać wywołane przez oprogramowanie Microsoft Exchange Server. Ten powtarzany cyklicznie proces jest uruchamiany w około jednominutowych odstępach czasu. To samo dotyczy wszystkich innych ustawień programu VSAPI. P: Czy program VSAPI może usunąć całą wiadomość, jeśli jej załącznik jest zarażony? O: Tak, program VSAPI może usunąć całą wiadomość. W tym celu należy wybrać opcję Usuń całą wiadomość w sekcji Działania ustawień programu VSAPI. Ta opcja jest dostępna w oprogramowaniu Microsoft Exchange Server 2003 i jego nowszych wersjach. Starsze wersje oprogramowania Microsoft Exchange Server nie obsługują 57 usuwania całych wiadomości. P: Czy program VSAPI skanuje również pod kątem wirusów wychodzące wiadomości e-mail? O: Tak, pogram VSAPI skanuje wychodzące wiadomości e-mail, jeśli w programie poczty e-mail skonfigurowano taki sam serwer SMTP jak w oprogramowaniu Microsoft Exchange Server. Ta funkcja jest stosowana w oprogramowaniu Microsoft Exchange Server 2000 z dodatkiem Service Pack 3 i w jego nowszych wersjach. P: Czy program VSAPI pozwala dodawać do każdej zeskanowanej wiadomości tekst powiadomienia tak samo jak agent transportu? O: Oprogramowanie Microsoft Exchange Server nie obsługuje dodawania tekstu do wiadomości skanowanych przez program VSAPI. P: Czasami niemożliwe jest otwarcie wybranej wiadomości e-mail w programie Microsoft Outlook. Dlaczego tak się dzieje? O: Opcj a Czynność w razie niemożności wyczyszczenia dostępna w sekcji Działania ustawień programu VSAPI ma prawdopodobnie wartość Blokuj lub utworzono regułę z działaniem Blokuj . Każde z tych ustawień będzie powodować oznaczanie oraz blokowanie zarażonych wiadomości i/lub wiadomości, do których stosowana jest opisana powyżej reguła. P: Czego dotyczy wartość Limit czasu odpowiedzi dostępna w sekcji Wydaj ność? O: W oprogramowaniu Microsoft Exchange Server 2000 z dodatkiem SP2 oraz w jego nowszych wersjach wartość Limit czasu odpowiedzi oznacza maksymalny czas (w sekundach) wymagany do zakończenia skanowania jednego wątku w programie VSAPI. Jeśli skanowanie nie zostanie zakończone przed upływem wyznaczonego czasu, oprogramowanie Microsoft Exchange Server odmówi programowi dostępu do wiadomości e-mail. Skanowanie nie zostanie przerwane, a dostęp do pliku będzie możliwy dopiero po jego zakończeniu. W przypadku oprogramowania Microsoft Exchange Server 5.5 z dodatkiem SP3 lub SP4 wartość jest wyrażana w milisekundach i oznacza czas, po którym program ponownie próbuje uzyskać dostęp do pliku, który wcześniej był niedostępny z powodu skanowania. P: Jak długa może być lista typów plików w jednej regule? O: Lista rozszerzeń plików może zawierać maksymalnie 255 znaków w jednej regule. P: W programie VSAPI jest włączona opcja Skanowanie w tle. Do tej pory wiadomości w oprogramowaniu Microsoft Exchange Server zawsze były skanowane po każdej aktualizacji bazy sygnatur wirusów. Po ostatniej aktualizacji tak się nie stało. Co jest przyczyną problemu? O: Decyzja o natychmiastowym skanowaniu wszystkich wiadomości bądź skanowaniu wiadomości w momencie, gdy użytkownik próbuje uzyskać do niej dostęp, zależy od wielu czynników. Zaliczają się do nich obciążenie serwera, czas procesora wymagany do zeskanowania partii wiadomości oraz łączna liczba wiadomości. Przed dotarciem do skrzynki odbiorczej każda wiadomość jest skanowana przez oprogramowanie Microsoft Exchange Server. P: Dlaczego wartość licznika reguł zwiększyła się o więcej niż jeden po otrzymaniu jednej wiadomości? O:Reguły są stosowane do wiadomości, gdy jest ona przetwarzana przez agenta transportu (TA) lub program VSAPI. Gdy włączony jest zarówno agent transportu, jak i program VSAPI, a wiadomość spełnia warunki reguły, wartość licznika reguł może wzrosnąć o 2 lub więcej. Program VSAPI uzyskuje dostęp do każdej części wiadomości osobno (treść, załącznik). Oznacza to, że reguły są kolejno stosowane osobno wobec każdej części. Ponadto, reguły są również stosowane podczas skanowania w tle (np. powtórzone skanowanie skrzynek pocztowych po aktualizacji bazy danych sygnatur wirusów), co także może zwiększyć wartość licznika reguł. P: Czy program ESET Mail Security 4 dla oprogramowania Microsoft Exchange Server jest zgodny z inteligentnym filtrem wiadomości (IMF)? O: Tak, program ESET Mail Security 4 dla oprogramowania Microsoft Exchange Server (EMSX) jest zgodny z inteligentnym filtrem wiadomości (IMF). W przypadku uznania wiadomości za spam wiadomości e-mail są przetwarzane w następujący sposób: – Jeśli w module antyspamowym programu ESET Mail Security włączono opcję Usuń wiadomość (lub Poddaj wiadomość kwarantannie), czynność zostanie wykonana niezależnie od czynności skonfigurowanej w inteligentnym filtrze wiadomości programu Microsoft Exchange. – Jeśli w module ochrony przed spamem programu ESET Mail Security wybrano opcję Brak czynności, zostaną 58 użyte ustawienia inteligentnego filtra wiadomości programu Microsoft Exchange, a program wykona odpowiednią czynność (np. usunięcie, odrzucenie, przeniesienie do archiwum). Aby ta funkcja działała skutecznie, należy włączyć opcję Zapisuj poziom ufności filtrów spamu (SCL) w nagłówkach zeskanowanych wiadomości na podstawie wyniku spamu, wybierając kolejno opcje Ochrona serwera > Microsoft Exchange Server > Agent transportu. P: Jak skonfigurować program ESET Mail Security, aby przenosił niechciane wiadomości e-mail do zdefiniowanego przez użytkownika folderu spamu w programie Microsoft Outlook? O: Ustawienia domyślne programu ESET Mail Security powodują, że program Microsoft Outlook zapisuje niechciane wiadomości w folderze Wiadomości-śmieci. Aby to rozwiązanie działało, należy odznaczyć opcję Zapisuj wyniki spamu w nagłówkach zeskanowanych wiadomości e-mail (F5 > Ochrona serwera > Ochrona przed spamem > Microsoft Exchange Server > Agent transportu). Aby zapisywać niechciane wiadomości e-mail w innym folderze, należy przeczytać następujące instrukcje: 1) W programie ESET Mail Security: - przejdź do drzewa ustawień zaawansowanych — F5 - wybierz kolejno opcje Ochrona serwera > Ochrona przed spamem > Microsoft Exchange Server > Agent transportu - wybierz opcję Zachowaj wiadomość z menu rozwijanego Czynność w odniesieniu do wiadomości zawieraj ących spam - odznacz pole wyboru Zapisuj wynik spamu w nagłówkach zeskanowanych wiadomości - przejdź do opcji Alerty i powiadomienia w obszarze Ochrona przed spamem - w polu Szablon dodawany do tematu wiadomości ze spamem zdefiniuj oznaczenie, które będzie dodawane w polu tematu niechcianych wiadomości, np. „[SPAM]” 2) W programie Microsoft Outlook: - skonfiguruj regułę, dzięki której wiadomości z określonymi wyrażeniami w temacie („[SPAM]”) będą przenoszone do zdefiniowanego folderu. Więcej szczegółowych informacji można znaleźć w tym artykule bazy wiedzy. 59 P: W statystykach ochrony przed spamem wiele wiadomości jest zaliczanych do kategorii Nieskanowane. Jakie wiadomości e-mail nie są skanowane przez funkcję ochrony przed spamem? O: Kategoria Nieskanowane obejmuje następujące podkategorie: Ogólne: Wszystkie wiadomości zeskanowane w momencie, gdy była wyłączona jakakolwiek powłoka ochrony przed spamem (serwer pocztowy, agent transportu). Microsoft Exchange Server 2003: Wszystkie wiadomości pochodzące z adresów IP, które występują w inteligentnym filtrze wiadomości na globalnej liście akceptowanych. Wiadomości od uwierzytelnionych nadawców. Microsoft Exchange Server 2007: Wszystkie wiadomości wysłane wewnątrz organizacji (wszystkie będą skanowane w ramach ochrony antywirusowej). Wiadomości od uwierzytelnionych nadawców. Wiadomości od użytkowników, dla których skonfigurowano pomijanie ochrony przed spamem. Wszystkie wiadomości wysłane do skrzynki pocztowej, dla której włączono opcję pomijania ochrony przed spamem (AntispamBypass). Wszystkie wiadomości od nadawców znajdujących się na liście Bezpieczni nadawcy. UWAGA: Adresy dodane do białej listy i w ustawieniach aparatu antyspamowego nie należą do kategorii Nieskanowane, ponieważ zawiera ona wyłącznie wiadomości, które nie były nigdy przetwarzane przez moduł ochrony przed spamem. P: Użytkownicy pobierają wiadomości do swoich programów poczty e-mail za pośrednictwem protokołu POP3 (pomijając oprogramowanie Microsoft Exchange), jednak skrzynki pocztowe są przechowywane w oprogramowaniu Microsoft Exchange Server. Czy program ESET Mail Security będzie skanować te wiadomości email pod kątem wirusów i spamu? O: Przy takiej konfiguracji program ESET Mail Security będzie skanować wiadomości e-mail zapisane w oprogramowaniu Microsoft Exchange Server tylko pod kątem wirusów (za pomocą programu VSAPI). Skanowanie pod kątem spamu nie będzie wykonywane, ponieważ wymaga ono serwera SMTP. P: Czy można zdefiniować poziom wyniku spamu, po osiągnięciu którego wiadomość będzie klasyfikowana jako spam? O: Tak, ten limit można ustawić w wersji 4.3 lub nowszej programu ESET Mail Security (patrz rozdział Aparat antyspamowy 41 ). P: Czy moduł ochrony przed spamem programu ESET Mail Security skanuje także wiadomości pobierana za pomocą rozwiązania POP3 Connector? O: ESET Mail Security obsługuje standardowe rozwiązanie Microsoft SBS POP3 Connector w systemie SBS 2008, w związku z czym wiadomości pobrane za pomocą tego rozwiązania POP3 Connector są skanowane pod kątem obecności spamu. Jednak standardowe rozwiązanie Microsoft SBS POP3 Connector w systemie SBS 2003 nie jest obsługiwane. Istnieją również rozwiązania POP3 Connector innych firm. To, czy wiadomości pobierane za pomocą rozwiązań POP3 Connector innych firm są skanowane pod kątem spamu zależy od struktury danego rozwiązania POP3 Connector oraz od sposobu pobierania wiadomości przez to rozwiązanie POP3 Connector. Więcej informacji można znaleźć w temacie Rozwiązanie POP3 i ochrona przed spamem 40 . 60 4. ESET Mail Security — ochrona serwera Oprócz ochrony oprogramowania Microsoft Exchange Server program ESET Mail Security oferuje również narzędzia niezbędne do ochrony samego serwera (ochrona rezydentna, ochrona dostępu do stron internetowych, ochrona programów poczty e-mail oraz ochrona przed spamem). 4.1 Antywirus i antyspyware Ochrona antywirusowa zabezpiecza system przed szkodliwymi atakami, sprawdzając pliki, pocztę e-mail i komunikację internetową. W przypadku wykrycia zagrożenia zawierającego szkodliwy kod moduł antywirusowy może je wyeliminować przez zablokowanie, a następnie usunięcie lub przeniesienie do kwarantanny. 4.1.1 Ochrona systemu plików w czasie rzeczywistym W ramach ochrony systemu plików w czasie rzeczywistym sprawdzane są wszystkie zdarzenia związane z ochroną antywirusową systemu. Wszystkie pliki w chwili otwarcia, utworzenia lub uruchomienia na komputerze są skanowane w poszukiwaniu szkodliwego kodu. Ochrona systemu plików w czasie rzeczywistym jest włączana przy uruchamianiu systemu. 4.1.1.1 Ustawienia sprawdzania Moduł ochrony systemu plików w czasie rzeczywistym sprawdza wszystkie typy nośników. Sprawdzanie jest wywoływane wystąpieniem różnych zdarzeń. Korzystając z metod wykrywania technologii ThreatSense (opisanych w sekcji Ustawienia parametrów technologii ThreatSense 77 ), funkcja ochrony systemu plików w czasie rzeczywistym może działać inaczej dla plików nowo tworzonych, a inaczej dla już istniejących. W przypadku nowo tworzonych plików można stosować głębszy poziom sprawdzania. Aby zminimalizować obciążenie systemu podczas korzystania z ochrony w czasie rzeczywistym, przeskanowane już pliki nie są skanowane ponownie (dopóki nie zostaną zmodyfikowane). Pliki są niezwłocznie skanowane ponownie po każdej aktualizacji bazy sygnatur wirusów. Taki sposób postępowania jest konfigurowany za pomocą funkcji inteligentnej optymalizacji. Po jej wyłączeniu wszystkie pliki są skanowane za każdym razem, gdy uzyskiwany jest do nich dostęp. Aby zmodyfikować tę opcję, należy otworzyć okno Ustawienia zaawansowane i w drzewie ustawień zaawansowanych kliknąć kolejno pozycje Antywirus i antyspyware > Ochrona systemu plików w czasie rzeczywistym. Następnie należy kliknąć przycisk Ustawienia... obok opcji Ustawienia parametrów technologii ThreatSense, po czym kliknąć przycisk Inne i zaznaczyć bądź usunąć zaznaczenie opcji Włącz inteligentną optymalizacj ę. Ochrona w czasie rzeczywistym jest domyślnie włączana przy uruchamianiu systemu i zapewnia nieprzerwane skanowanie. W szczególnych przypadkach (np. jeśli wystąpi konflikt z innym skanerem w trybie rzeczywistym) ochronę w czasie rzeczywistym można wyłączyć, usuwając zaznaczenie opcji Automatycznie uruchom ochronę systemu plików w czasie rzeczywistym. 61 4.1.1.1.1 Skanowane nośniki Domyślnie wszystkie typy nośników są skanowane w celu wykrycia potencjalnych zagrożeń. Dyski lokalne — sprawdzane są wszystkie dyski twarde w komputerze. Dyski przenośne — sprawdzane są dyskietki, urządzenia pamięci masowej USB itp. Dyski sieciowe — skanowane są wszystkie zmapowane dyski. Zalecane jest zachowanie ustawień domyślnych i modyfikowanie ich wyłącznie w szczególnych przypadkach, jeśli na przykład sprawdzanie pewnych nośników znacznie spowalnia przesyłanie danych. 4.1.1.1.2 Skanowanie włączone (skanowanie po wystąpieniu zdarzenia) Domyślnie wszystkie pliki są skanowane podczas otwierania, tworzenia i wykonywania. Zalecane jest zachowanie ustawień domyślnych, ponieważ zapewniają one maksymalny poziom ochrony komputera w czasie rzeczywistym. Opcja Dostęp do dyskietki umożliwia sprawdzanie sektora rozruchowego dyskietki podczas uzyskiwania dostępu do napędu dyskietek. Opcja Wyłączenie komputera umożliwia sprawdzanie sektorów rozruchowych dysku podczas wyłączania komputera. Mimo że wirusy sektora rozruchowego występują obecnie rzadko, zalecane jest włączenie tych opcji, ponieważ nadal zachodzi ryzyko infekcji sektora rozruchowego wirusami z innych źródeł. 4.1.1.1.3 Zaawansowane opcj e skanowania Dostęp do bardziej szczegółowych ustawień można uzyskać, wybierając kolejno opcje Ochrona komputera > Antywirus i antyspyware > Ochrona systemu plików w czasie rzeczywistym > Ustawienia zaawansowane. Dodatkowe parametry ThreatSense dla nowo utworzonych i zmodyfikowanych plików — prawdopodobieństwo infekcji nowo utworzonych lub zmodyfikowanych plików jest stosunkowo większe niż istniejących już plików. Dlatego program sprawdza takie pliki z zastosowaniem dodatkowych parametrów skanowania. Oprócz typowych metod skanowania przy użyciu sygnatur używana jest zaawansowana heurystyka, która znacznie zwiększa wykrywalność zagrożeń. Poza nowo utworzonymi plikami skanowanie obejmuje również archiwa samorozpakowujące (SFX) i pliki spakowane (skompresowane wewnętrznie pliki wykonywalne). Domyślnie archiwa są skanowane do dziesiątego poziomu zagnieżdżenia i są sprawdzane niezależnie od ich rozmiaru. Aby zmienić ustawienia skanowania archiwów, należy usunąć zaznaczenie opcji Domyślne ustawienia skanowania archiwów. Dodatkowe parametry ThreatSense.Net dla wykonanych plików — domyślnie zaawansowana heurystyka nie 62 jest używana podczas wykonywania plików. W niektórych przypadkach może jednak zajść potrzeba włączenia tej opcji (poprzez zaznaczenie opcji Włącz zaawansowaną heurystykę podczas wykonywania pliku). Należy pamiętać, że zaawansowana heurystyka może spowolnić wykonywanie niektórych programów z powodu zwiększonego zapotrzebowania na zasoby systemowe. 4.1.1.2 Poziomy leczenia W ramach ochrony w czasie rzeczywistym dostępne są trzy poziomy leczenia. Aby wybrać poziom leczenia, należy w sekcji Ochrona systemu plików w czasie rzeczywistym kliknąć przycisk Ustawienia..., a następnie kliknąć gałąź Leczenie. W przypadku pierwszego poziomu, Brak leczenia, dla każdego wykrytego zagrożenia wyświetlane jest okno alertu z opcjami do wyboru. Należy wybrać działanie osobno dla każdego zagrożenia. Poziom ten jest przeznaczony dla bardziej zaawansowanych użytkowników, którzy wiedzą, jakie czynności podjąć na wypadek zagrożenia. Przy domyślnym poziomie leczenia w zależności od typu zagrożenia automatycznie wybierane i wykonywane jest wstępnie zdefiniowane działanie. O wykryciu i usunięciu zainfekowanego pliku informuje komunikat wyświetlany w prawym dolnym rogu ekranu. Automatyczne działania nie są podejmowane, jeśli zagrożenie wykryto w archiwum (które zawiera również niezainfekowane pliki) lub dla zainfekowanych obiektów nie określono wstępnie działania. Trzeci poziom, Leczenie dokładne, charakteryzuje się najbardziej stanowczym działaniem — leczone są wszystkie zainfekowane obiekty. Z uwagi na to, że przy tym poziomie można utracić także niezainfekowane pliki, zaleca się jego używanie tylko w szczególnych sytuacjach. 4.1.1.3 Zmienianie ustawień ochrony w czasie rzeczywistym Ochrona w czasie rzeczywistym jest najbardziej istotnym elementem zapewniającym bezpieczeństwo systemu. Dlatego należy zachować ostrożność podczas zmieniania jej parametrów. Modyfikowanie ustawień ochrony jest zalecane tylko w określonych przypadkach, na przykład jeśli występuje konflikt z określoną aplikacją lub działającym w czasie rzeczywistym skanerem należącym do innego programu antywirusowego. Po zainstalowaniu programu ESET Mail Security wszystkie ustawienia są optymalizowane w celu zapewnienia maksymalnego poziomu bezpieczeństwa systemu. Aby przywrócić ustawienia domyślne, należy kliknąć przycisk Domyślne znajdujący się w prawym dolnym rogu okna Ochrona systemu plików w czasie rzeczywistym (otwieranego po wybraniu kolejno opcji Ustawienia zaawansowane > Antywirus i antyspyware > Ochrona systemu plików w czasie rzeczywistym). 63 4.1.1.4 Sprawdzanie skuteczności ochrony w czasie rzeczywistym Aby sprawdzić, czy funkcja ochrony w czasie rzeczywistym działa i wykrywa wirusy, należy użyć pliku z witryny eicar.com. Jest to specjalnie przygotowany nieszkodliwy plik testowy wykrywany przez wszystkie programy antywirusowe. Został on utworzony przez firmę EICAR (European Institute for Computer Antivirus Research) w celu testowania działania programów antywirusowych. Plik eicar.com jest dostępny do pobrania pod adresem http://www.eicar.org/download/eicar.com UWAGA: Przed przystąpieniem do sprawdzenia skuteczności ochrony w czasie rzeczywistym należy wyłączyć zaporę. Włączona zapora wykryje plik testowy i uniemożliwi jego pobranie. 4.1.1.5 Co zrobić, j eśli ochrona w czasie rzeczywistym nie działa W kolejnym rozdziale opisano problemy, które mogą wystąpić podczas korzystania z ochrony w czasie rzeczywistym oraz sposoby ich rozwiązywania. Ochrona w czasie rzeczywistym j est wyłączona Jeśli ochrona w czasie rzeczywistym została przypadkowo wyłączona przez użytkownika, należy ją ponownie włączyć. W tym celu należy kliknąć kolejno opcje Ustawienia > Antywirus i antyspyware, a następnie w głównym oknie programu w sekcji Ochrona systemu plików w czasie rzeczywistym kliknąć przycisk Włącz. Jeśli ochrona w czasie rzeczywistym nie jest włączana przy uruchamianiu systemu, może to być spowodowane wyłączeniem opcji Automatycznie uruchom ochronę systemu plików w czasie rzeczywistym. Aby ją włączyć, należy przejść do okna Ustawienia zaawansowane (klawisz F5) i w drzewie ustawień zaawansowanych kliknąć pozycję Ochrona systemu plików w czasie rzeczywistym. Należy się upewnić, że u dołu okna w sekcji Ustawienia zaawansowane zaznaczona jest opcja Automatycznie uruchom ochronę systemu plików w czasie rzeczywistym. Ochrona w czasie rzeczywistym nie wykrywa ani nie leczy zagrożeń Należy się upewnić, że na komputerze nie ma zainstalowanych innych programów antywirusowych. Jednoczesne włączenie dwóch modułów ochrony w czasie rzeczywistym może powodować ich konflikt. Zaleca się odinstalowanie innych programów antywirusowych z systemu. Ochrona w czasie rzeczywistym nie j est uruchamiana Jeśli ochrona w czasie rzeczywistym nie jest włączana przy uruchamianiu systemu (a opcja Automatycznie uruchom ochronę systemu plików w czasie rzeczywistym jest włączona), może to być spowodowane 64 konfliktami z innymi programami. W takim przypadku należy skonsultować się z działem pomocy technicznej firmy ESET. 4.1.2 Ochrona programów poczty e-mail W ramach ochrony poczty e-mail sprawdzana jest komunikacja przychodząca za pośrednictwem protokołu POP3. Przy użyciu wtyczki do aplikacji Microsoft Outlook program ESET Mail Security zapewnia sprawdzanie całej komunikacji realizowanej przez klienta poczty e-mail (za pośrednictwem protokołów POP3, MAPI, IMAP oraz HTTP). Podczas analizowania wiadomości przychodzących program stosuje wszystkie zaawansowane metody skanowania dostępne w ramach technologii skanowania ThreatSense. Dzięki temu szkodliwe programy są wykrywane nawet zanim zostaną porównane z bazą danych sygnatur wirusów. Skanowanie komunikacji realizowanej za pośrednictwem protokołu POP3 odbywa się niezależnie od używanego programu poczty e-mail. 4.1.2.1 Sprawdzanie protokołu POP3 POP3 jest najbardziej rozpowszechnionym protokołem używanym do odbierania wiadomości w programach poczty e-mail. Program ESET Mail Security zapewnia ochronę tego protokołu niezależnie od użytkowanego programu pocztowego. Moduł ochrony jest włączany automatycznie przy uruchamianiu systemu operacyjnego, a następnie działa w pamięci operacyjnej. Aby ochrona funkcjonowała prawidłowo, należy się upewnić się, że moduł jest włączony. Sprawdzanie protokołu POP3 odbywa się automatycznie bez konieczności zmiany konfiguracji programu poczty email. Domyślnie skanowana jest cała komunikacja realizowana przez port 110, ale w razie potrzeby skanowaniem można objąć również inne porty. Numery portów muszą być oddzielone przecinkami. Komunikacja szyfrowana nie jest sprawdzana. Aby móc korzystać z filtrowania protokołu POP3/POP3S, należy najpierw włączyć filtrowanie protokołów. Jeśli ustawienia POP3/POP3S są niedostępne, należy w drzewie ustawień zaawansowanych przejść do pozycji Ochrona komputera > Antywirus i antyspyware > Filtrowanie protokołów i zaznaczyć opcję Włącz ochronę zawartości protokołów aplikacj i. Więcej informacji na temat filtrowania i jego konfiguracji można znaleźć w sekcji Filtrowanie protokołów. 65 4.1.2.1.1 Zgodność Niektóre programy poczty e-mail mogą wykazywać problemy związane z filtrowaniem protokołu POP3 (np. z powodu sprawdzania odbieranych wiadomości przy wolnym połączeniu internetowym może upłynąć limit czasu). W takim przypadku należy spróbować zmodyfikować sposób sprawdzania. Zmniejszenie poziomu dokładności może wpłynąć na przyspieszenie procesu leczenia. Aby zmienić poziom dokładności filtrowania protokołu POP3, należy w drzewie ustawień zaawansowanych przejść do pozycji Antywirus i antyspyware > Ochrona poczty email > Protokoły POP3 i POP3s > Zgodność. Po włączeniu opcji Maksymalna skuteczność zagrożenia są usuwane z zainfekowanych wiadomości, a przed oryginalnym tematem wiadomości wstawiana jest informacja o zagrożeniu (jeśli włączona jest opcja Usuń lub Wylecz, bądź ustawiony jest poziom leczenia Dokładny lub Domyślny). Wybór ustawienia Średnia zgodność powoduje zmianę sposobu odbierania wiadomości. Wiadomości są stopniowo przesyłane do programu poczty e-mail. Po przekazaniu ostatniej części wiadomości jest ona skanowana w poszukiwaniu zagrożeń. Przy tym poziomie sprawdzania zwiększa się ryzyko infekcji. Poziom leczenia i obsługa oznaczeń (informacji dodawanych do tematu i treści wiadomości) są takie same, jak dla ustawienia Maksymalna skuteczność. Po wybraniu poziomu Maksymalna zgodność w przypadku odebrania zainfekowanej wiadomości wyświetlane jest okno alertu z ostrzeżeniem. Do tematu ani do treści dostarczanych wiadomości nie są dodawane żadne informacje o zainfekowanych plikach, a zagrożenia nie są automatycznie usuwane. Użytkownik musi samodzielnie usunąć zagrożenia w programie poczty e-mail. 4.1.2.2 Integracj a z programami pocztowymi Integracja programu ESET Mail Security z programami pocztowymi zwiększa poziom aktywnej ochrony przed szkodliwym kodem rozsyłanym w wiadomościach e-mail. Jeśli dany program pocztowy jest obsługiwany, integrację tę można włączyć w programie ESET Mail Security. Po jej włączeniu pasek narzędzi programu ESET Mail Security zostaje wstawiony bezpośrednio do programu poczty e-mail, umożliwiając skuteczniejszą ochronę poczty. Dostęp do ustawień integracji można uzyskać, klikając kolejno opcje Ustawienia > Otwórz całe drzewo ustawień zaawansowanych… > Inne > Integracj a z programami pocztowymi. Integrację można uaktywnić w przypadku obsługiwanych programów poczty e-mail. Obecnie należą do nich programy Microsoft Outlook, Outlook Express, Poczta systemu Windows, Poczta usługi Windows Live i Mozilla Thunderbird. Jeśli podczas pracy z programem poczty e-mail system działa wolniej niż zwykle, można zaznaczyć opcję Wyłącz sprawdzanie po zmianie zawartości skrzynki odbiorczej . Może to mieć miejsce podczas pobierania poczty z Kerio Outlook Connector Store. 66 Aby włączyć ochronę poczty e-mail, należy kliknąć kolejno opcje Ustawienia > Otwórz całe drzewo ustawień zaawansowanych… > Antywirus i antyspyware > Ochrona programów poczty e-mail i wybrać opcję Włącz ochronę antywirusową i antyspyware w programie pocztowym. 4.1.2.2.1 Dołączanie informacj i do treści wiadomości Każdą wiadomość e-mail przeskanowaną przez program ESET Mail Security można oznaczyć, dołączając notatkę do jej treści lub tematu. Funkcja ta zwiększa wiarygodność wiadomości dla odbiorcy, a w przypadku wykrycia zagrożenia udostępnia cenne informacje na temat poziomu zagrożenia, jakie stanowi dana wiadomość lub jej nadawca. Ustawienia tej funkcji są dostępne po wybraniu kolejno opcji Ustawienia zaawansowane > Antywirus i antyspyware > Ochrona programów poczty e-mail. Do wyboru są opcje Oznacz otrzymaną i przeczytaną wiadomość e-mail oraz Oznacz wysyłaną wiadomość e-mail. Można też zdecydować, czy notatki mają być dołączane do wszystkich przeskanowanych wiadomości e-mail, tylko do zainfekowanych, czy do żadnych. Program ESET Mail Security może również dodawać notatki do oryginalnego tematu zainfekowanych wiadomości. Aby włączyć tę funkcję, należy zaznaczyć opcje Dołącz notatkę do tematu otrzymanej i przeczytanej zainfekowanej wiadomości oraz Dołącz notatkę do tematu wysyłanej zainfekowanej wiadomości. Treść dołączanych notatek można modyfikować w polu Szablon komunikatu dołączanego do tematu zainfekowanej wiadomości. Wspomniane uprzednio modyfikacje pomagają zautomatyzować proces filtrowania zainfekowanej poczty e-mail, ponieważ umożliwiają filtrowanie wiadomości e-mail o określonym temacie (jeśli funkcję tę obsługuje używany program poczty e-mail) i przenoszenie ich do osobnego folderu. 4.1.2.3 Usuwanie infekcj i Po odebraniu zainfekowanej wiadomości e-mail wyświetlane jest okno alertu. Zawiera ono nazwę nadawcy, wiadomość e-mail i nazwę infekcji. W dolnej części okna dostępne są działania, które można zastosować na wykrytym obiekcie: Wylecz, Usuń lub Pozostaw. W niemal wszystkich przypadkach zalecany jest wybór opcji Wylecz lub Usuń. W szczególnych sytuacjach, gdy użytkownik chce odebrać zainfekowany plik, można wybrać opcję Pozostaw. Jeśli włączone jest Leczenie dokładne, wyświetlane jest okno informacyjne bez opcji dotyczących zainfekowanych obiektów. 67 4.1.3 Ochrona dostępu do stron internetowych Zapewnianie połączenia z Internetem jest standardową funkcją komputera osobistego. Niestety komunikacja internetowa stała się głównym sposobem przenoszenia szkodliwego kodu. Z tego względu ważne jest umiejętne dobranie ochrony dostępu do stron internetowych. Zdecydowanie zalecamy zaznaczenie pola wyboru Włącz ochronę antywirusową i antyspyware do stron internetowych. Można je znaleźć w oknie Ustawienia zaawansowane (klawisz F5) po kliknięciu kolejno opcji Antywirus i antyspyware > Ochrona dostępu do stron internetowych. 4.1.3.1 Protokoły HTTP i HTTPS Ochrona dostępu do stron internetowych polega na monitorowaniu realizowanej między przeglądarkami internetowymi i zdalnymi serwerami komunikacji zgodnej z regułami protokołów HTTP (ang. Hypertext Transfer Protocol) i HTTPS (komunikacja szyfrowana). Domyślnie program ESET Mail Security jest skonfigurowany pod kątem używania standardów obsługiwanych przez większość przeglądarek internetowych. Opcje ustawień skanera protokołu HTTP można jednak modyfikować w oknie Ustawienia zaawansowane (klawisz F5) po wybraniu kolejno opcji Antywirus i antyspyware > Ochrona dostępu do stron internetowych > Protokoły HTTP i HTTPS. W głównym oknie skanera protokołu HTTP można zaznaczyć lub usunąć zaznaczenie opcji Włącz sprawdzanie protokołu HTTP. Można również określić numery portów używane do komunikacji za pośrednictwem protokołu HTTP. Domyślnie wstępnie zdefiniowane są porty 80, 8080 i 3128. Sprawdzanie protokołu HTTPS może być wykonywane w jednym z następujących trybów: Nie używaj funkcj i sprawdzania protokołu HTTPS – komunikacja szyfrowana nie będzie sprawdzana. Użyj funkcj i sprawdzania protokołu HTTPS dla wybranych portów – sprawdzanie protokołu HTTPS będzie dotyczyło tylko portów zdefiniowanych w polu Porty używane przez protokół HTTPS. 68 4.1.3.1.1 Zarządzanie adresami W tej sekcji można określić adresy HTTP, które mają być blokowane, dozwolone lub wyłączone ze sprawdzania. Przyciski Dodaj , Edytuj , Usuń i Eksportuj służą do zarządzania listami adresów. Witryny internetowe znajdujące się na listach blokowanych adresów nie będą dostępne. Dostęp do witryn internetowych znajdujących się na liście adresów wyłączonych odbywa się bez skanowania w poszukiwaniu szkodliwego kodu. Jeśli zostanie włączona opcja Zezwól na dostęp tylko do adresów HTTP z listy dozwolonych adresów, tylko adresy obecne na liście dozwolonych adresów będą dostępne, podczas gdy pozostałe adresy HTTP będą blokowane. Na wszystkich listach można używać symboli specjalnych: „*” (gwiazdka) i „?” (znak zapytania). Gwiazdka zastępuje dowolny ciąg znaków, a znak zapytania zastępuje dowolny symbol. Szczególną ostrożność należy zachować podczas określania adresów wyłączonych, ponieważ ich lista powinna zawierać jedynie adresy zaufane i bezpieczne. Ponadto należy sprawdzić, czy symbole „*” oraz „?” są na tej liście stosowane prawidłowo. Aby aktywować listę, należy zaznaczyć pole wyboru Lista aktywnych. Jeśli przy wprowadzaniu adresu z bieżącej listy ma być wyświetlane powiadomienie, należy zaznaczyć pole wyboru Powiadom o zastosowaniu adresu z listy. 69 4.1.3.1.2 Tryb aktywny Program ESET Mail Security wyposażono w funkcję Przeglądarki internetowe, umożliwiającą użytkownikowi określenie, czy dana aplikacja jest przeglądarką. Jeśli dana aplikacja zostanie oznaczona jako przeglądarka, sprawdzana będzie jej cała komunikacja, niezależnie od używanych portów. Funkcja Przeglądarki internetowe uzupełnia funkcję sprawdzania protokołu HTTP, ponieważ sprawdzanie protokołu HTTP jest wykonywane tylko dla wstępnie zdefiniowanych portów. Wiele usług internetowych używa jednak zmieniających się lub nieznanych numerów portów. W tej sytuacji funkcja Przeglądarki internetowe umożliwia sprawdzanie komunikacji prowadzonej przez porty niezależnie od parametrów połączenia. Lista aplikacji oznaczonych jako przeglądarki jest dostępna bezpośrednio w podmenu Przeglądarki internetowe w gałęzi Protokoły HTTP i HTTPS. W tej sekcji znajduje się również podmenu Tryb aktywny umożliwiające 70 zdefiniowanie trybu sprawdzania przeglądarek internetowych. Ustawienie Tryb aktywny jest przydatne, ponieważ umożliwia analizę przesyłanych danych jako całości. Jeśli nie jest ona włączona, komunikacja aplikacji jest stopniowo monitorowana w partiach. Zmniejsza to skuteczność procesu weryfikacji danych, ale jednocześnie zapewnia większą zgodność z aplikacjami wymienionymi na liście. Jeśli podczas używania aktywnego trybu sprawdzania nie występują problemy, zaleca się jego włączenie poprzez zaznaczenie pola wyboru obok odpowiedniej aplikacji. 4.1.4 Skanowanie komputera na żądanie Jeśli zachodzi podejrzenie zainfekowania komputera (działa w nieprawidłowy sposób), należy uruchomić skanowanie na żądanie w celu wyszukania zagrożeń. Z punktu widzenia bezpieczeństwa ważne jest, aby skanowanie komputera było przeprowadzane nie tylko w przypadku podejrzenia infekcji, ale regularnie w ramach rutynowych działań związanych z bezpieczeństwem. Regularne skanowanie umożliwia wykrywanie zagrożeń, które podczas zapisywania zainfekowanych plików na dysku nie zostały wykryte przez skaner działający w czasie rzeczywistym. Może się tak zdarzyć, jeśli w momencie wystąpienia infekcji skaner działający w czasie rzeczywistym był wyłączony lub baza sygnatur wirusów była nieaktualna. Zalecane jest uruchamianie skanowania komputera na żądanie co najmniej raz w miesiącu. Skanowanie można skonfigurować jako zaplanowane zadanie za pomocą opcji Narzędzia > Harmonogram. 71 4.1.4.1 Typ skanowania Dostępne są dwa typy skanowania komputera na żądanie. Opcja Skanowanie inteligentne umożliwia szybkie przeskanowanie systemu bez konieczności dodatkowego konfigurowania parametrów skanowania. Opcja Skanowanie niestandardowe umożliwia wybranie jednego ze wstępnie zdefiniowanych profilów skanowania oraz określenie obiektów skanowania. 4.1.4.1.1 Skanowanie inteligentne Tryb skanowania inteligentnego umożliwia szybkie uruchomienie skanowania komputera i wyleczenie zainfekowanych plików bez konieczności podejmowania dodatkowych działań przez użytkownika. Jego główną zaletą jest łatwa obsługa i brak szczegółowej konfiguracji skanowania. W ramach skanowania inteligentnego sprawdzane są wszystkie pliki na dyskach lokalnych, a wykryte infekcje są automatycznie leczone lub usuwane. Automatycznie ustawiany jest też domyślny poziom leczenia. Szczegółowe informacje na temat typów leczenia można znaleźć w sekcji Leczenie 80 . 4.1.4.1.2 Skanowanie niestandardowe Skanowanie niestandardowe stanowi optymalne rozwiązanie, jeśli użytkownik chce sam określić parametry skanowania, takie jak skanowane obiekty i metody skanowania. Zaletą skanowania niestandardowego jest możliwość szczegółowej konfiguracji parametrów. Konfiguracje można zapisywać w zdefiniowanych przez użytkownika profilach skanowania, które mogą być przydatne, jeśli skanowanie jest przeprowadzane wielokrotnie z zastosowaniem tych samych parametrów. Aby wybrać skanowane obiekty, należy wybrać kolejno opcje Skanowanie komputera > Skanowanie niestandardowe, a następnie wybrać odpowiednią pozycję z menu rozwijanego Skanowane obiekty lub wybrać żądane obiekty w strukturze drzewa. Obiekty do skanowania można również wskazać bardziej precyzyjnie, wprowadzając ścieżkę do folderu lub plików, które mają zostać objęte skanowaniem. Jeśli użytkownik chce tylko przeskanować system bez wykonywania dodatkowych działań związanych z leczeniem, należy wybrać opcję Skanuj bez leczenia. Ponadto można wybrać jeden z trzech poziomów leczenia, klikając kolejno opcje Ustawienia... > Leczenie. 72 4.1.4.2 Skanowane obiekty Z menu rozwijanego Skanowane obiekty można wybrać pliki, foldery i urządzenia (dyski), które mają być skanowane w poszukiwaniu wirusów. Ustawienia profilu — skanowane są obiekty określone w wybranym profilu skanowania. Dyski przenośne — skanowane są dyskietki, urządzenia pamięci masowej USB, płyty CD/DVD. Dyski lokalne — skanowane są wszystkie dyski twarde dostępne w komputerze. Dyski sieciowe — skanowane są wszystkie mapowane dyski sieciowe. Brak wyboru — wybór obiektów zostaje anulowany. Obiekt do skanowania można również wskazać bardziej precyzyjnie, wprowadzając ścieżkę do folderu lub plików, które mają zostać objęte skanowaniem. Skanowane obiekty można wybrać w strukturze drzewa zawierającej wszystkie urządzenia dostępne w komputerze. 4.1.4.3 Profile skanowania Preferowane parametry skanowania mogą zostać zapisane i użyte w przyszłości. Zalecane jest utworzenie osobnego profilu (z ustawionymi różnymi obiektami i metodami skanowania oraz innymi parametrami) dla każdego regularnie przeprowadzanego skanowania. Aby utworzyć nowy profil, należy otworzyć okno ustawień zaawansowanych (klawisz F5) i kliknąć kolejno opcje Skanowanie komputera na żądanie > Profile... W oknie Profile konfiguracj i znajduje się menu rozwijane, które zawiera listę istniejących profili skanowania oraz opcję umożliwiającą utworzenie nowego profilu. Informacje na temat tworzenia profilu skanowania dostosowanego do indywidualnych potrzeb można znaleźć w sekcji Ustawienia parametrów technologii ThreatSense 77 , w której opisano poszczególne parametry ustawień skanowania. PRZYKŁAD: Załóżmy, że użytkownik chce utworzyć własny profil skanowania, a żądana konfiguracja częściowo pokrywa się z konfiguracją Skanowanie inteligentne. Użytkownik nie chce jednak skanować plików spakowanych lub potencjalnie niebezpiecznych aplikacji oraz chce zastosować ustawienie Leczenie dokładne. W takim przypadku należy w oknie Profile konfiguracj i kliknąć przycisk Dodaj ... Następnie w polu Nazwa profilu należy wprowadzić nazwę nowego profilu i wybrać z menu rozwijanego Kopiuj ustawienia z profilu pozycję Skanowanie inteligentne: . Następnie należy dostosować do własnych potrzeb pozostałe parametry profilu. 73 4.1.4.4 Wiersz polecenia Moduł antywirusowy programu ESET Mail Security można uruchomić z poziomu wiersza polecenia — ręcznie (polecenie „ecls”) lub za pomocą pliku wsadowego (BAT). Przy uruchamianiu skanera na żądanie z poziomu wiersza polecenia można używać następujących parametrów i przełączników: Opcj e ogólne: - help Pokaż pomoc i zakończ. - version Pokaż informacje o wersji i zakończ. - base-dir = FOLDER Załaduj moduły z FOLDERU. - quar-dir = FOLDER Poddaj FOLDER kwarantannie. - aind Pokaż wskaźnik aktywności. Obiekty docelowe: - files Skanuj pliki (parametr domyślny). - no-files Nie skanuj plików. - boots Skanuj sektory rozruchowe (parametr domyślny). - no-boots Nie skanuj sektorów rozruchowych. - arch Skanuj archiwa (parametr domyślny). - no-arch Nie skanuj archiwów. - max-archive-level = POZIOM Określa maksymalny POZIOM zagnieżdżenia archiwów. - scan-timeout = LIMIT Maksymalny LIMIT czasu skanowania archiwów w sekundach. Jeśli czas skanowania osiągnie ten limit, skanowanie archiwum zostaje zatrzymane. Skanowanie zostaje następnie wznowione od kolejnego pliku. - max-arch-size=ROZMIAR Skanuj tylko określoną jako ROZMIAR liczbę pierwszych bajtów archiwów (wartość domyślna 0 = bez limitu). - mail Skanuj pliki poczty e-mail. - no-mail Nie skanuj plików poczty e-mail. - sfx Skanuj archiwa samorozpakowujące. - no-sfx Nie skanuj archiwów samorozpakowujących. - rtp Skanuj pliki spakowane. - no-rtp Nie skanuj plików spakowanych. - exclude = FOLDER Wyłącz FOLDER ze skanowania. - subdir Skanuj podfoldery (parametr domyślny). - no-subdir Nie skanuj podfolderów. - max-subdir-level = POZIOM Określa maksymalny POZIOM zagnieżdżenia podfolderów (wartość domyślna 0 = bez limitu). - symlink Uwzględniaj łącza symboliczne (parametr domyślny). - no-symlink Pomijaj łącza symboliczne. - ext-remove = ROZSZERZENIA - ext-exclude = ROZSZERZENIA 74 Wyłącz ze skanowania podane ROZSZERZENIA oddzielone dwukropkami. Metody: - adware Skanuj w poszukiwaniu adware/spyware/riskware. - no-adware Nie skanuj w poszukiwaniu adware/spyware/riskware. - unsafe Skanuj w poszukiwaniu potencjalnie niebezpiecznych aplikacji. - no-unsafe Nie skanuj w poszukiwaniu potencjalnie niebezpiecznych aplikacji. - unwanted Skanuj w poszukiwaniu potencjalnie niepożądanych aplikacji. - no-unwanted Nie skanuj w poszukiwaniu potencjalnie niepożądanych aplikacji. - pattern Używaj sygnatur. - no-pattern Nie używaj sygnatur. - heur Włącz heurystykę. - no-heur Wyłącz heurystykę. - adv-heur Włącz zaawansowaną heurystykę. - no-adv-heur Wyłącz zaawansowaną heurystykę. Leczenie: - action = CZYNNOŚĆ Wykonaj CZYNNOŚĆ na zainfekowanych obiektach. Dostępne czynności: none (brak), clean (wylecz), prompt (wyświetl monit). - quarantine Kopiuj zainfekowane pliki do kwarantanny (uzupełnienie parametru „action”). - no-quarantine Nie kopiuj zainfekowanych plików do kwarantanny. Dzienniki: - log-file=PLIK Zapisuj wyniki w PLIKU. - log-rewrite Zastąp plik wyników (domyślnie — dołącz). - log-all Zapisuj również informacje o niezainfekowanych plikach. - no-log-all Nie zapisuj informacji o niezainfekowanych plikach (parametr domyślny). Możliwe kody zakończenia skanowania: 0 Nie znaleziono zagrożenia. 1 Wykryto zagrożenie, ale go nie usunięto. 10 Pozostały pewne zainfekowane pliki. 101 Wystąpił błąd archiwum. 102 Wystąpił błąd dostępu. 103 Wystąpił błąd wewnętrzny. UWAGA: Kody zakończenia o wartości wyższej niż 100 oznaczają, że plik nie został przeskanowany i dlatego może być zainfekowany. 75 4.1.5 Wydaj ność W tej sekcji można ustalić liczbę aparatów skanowania technologii ThreatSense używanych do ochrony przed wirusami. Większa liczba aparatów skanowania technologii ThreatSense używanych na komputerach z wieloma procesorami może zwiększyć szybkość skanowania. Dopuszczalna wartość mieści się w przedziale od 1 do 20. W przypadku braku innych ograniczeń zaleca się zwiększenie liczby aparatów skanowania technologii ThreatSense w oknie Ustawienia zaawansowane (F5). Aby to zrobić, należy wybrać kolejno opcje Ochrona komputera > Antywirus i antyspyware > Wydaj ność i skorzystać z następującego wzoru: liczba aparatów skanowania technologii ThreatSense = (liczba fizycznych procesorów x 2) + 1. Liczba wątków skanowania powinna być taka sama jak liczba aparatów skanowania technologii ThreatSense. Liczbę wątków skanowania można skonfigurować po wybraniu kolejno opcji Ochrona serwera > Antywirus i antyspyware > Microsoft Exchange Server > VSAPI > Wydaj ność. Oto przykład: Załóżmy, że jest używany serwer z 4 procesorami. Najlepszą wydajność zgodnie z powyższym wzorem zapewni użycie 9 wątków skanowania i 9 aparatów skanowania. UWAGA: Zaleca się ustawienie jednakowej liczby wątków skanowania i używanych aparatów skanowania technologii ThreatSense. Jeśli liczba używanych wątków skanowania przekroczy liczbę aparatów skanowania, nie wpłynie to w żaden sposób na wydajność. UWAGA: Zmiany wprowadzone w tej sekcji zostaną zastosowane dopiero po ponownym uruchomieniu. 4.1.6 Filtrowanie protokołów Ochrona antywirusowa protokołów POP3 i HTTP jest realizowana z wykorzystaniem technologii ThreatSense, w której połączono wszystkie zaawansowane techniki wykrywania szkodliwego oprogramowania. Monitorowanie odbywa się automatycznie, niezależnie od przeglądarki internetowej i programu poczty e-mail. Dostępne są następujące ustawienia filtrowania protokołów (jeśli zaznaczono opcję Włącz ochronę zawartości protokołów aplikacj i): Portów HTTP i POP3 — powoduje ograniczenie skanowania komunikacji do znanych portów HTTP i POP3. Aplikacj i oznaczonych j ako przeglądarki internetowe lub programy poczty e-mail — po wybraniu tego ustawienia filtrowana jest tylko komunikacja aplikacji oznaczonych jako przeglądarki internetowe (Ochrona dostępu do stron internetowych > HTTP, HTTPS > Przeglądarki internetowe) i programy poczty e-mail ( Ochrona programów poczty e-mail > POP3, POP3s > Programy poczty e-mail). Portów i aplikacj i oznaczonych j ako przeglądarki internetowe lub programy poczty e-mail — wykrywanie szkodliwego oprogramowania obejmuje zarówno porty, jak i przeglądarki internetowe. UWAGA: Począwszy od systemów Windows Vista z dodatkiem Service Pack 1 i Windows Server 2008 stosowana jest nowa metoda filtrowania komunikacji. W efekcie sekcja Filtrowanie protokołów jest w tych systemach niedostępna. 4.1.6.1 Protokół SSL Program ESET Mail Security umożliwia sprawdzanie protokołów enkapsulowanych w protokole SSL. W przypadku komunikacji chronionej protokołem SSL można stosować różne tryby skanowania z użyciem certyfikatów zaufanych, nieznanych lub takich, które zostały wyłączone ze sprawdzania komunikacji chronionej przez protokół SSL. Zawsze skanuj protokół SSL — wybór tej opcji powoduje skanowanie całej komunikacji chronionej protokołem SSL oprócz komunikacji chronionej za pomocą certyfikatów wyłączonych ze sprawdzania. W przypadku nawiązania nowego połączenia z użyciem nieznanego, podpisanego certyfikatu użytkownik nie zostanie o tym powiadomiony, a połączenie będzie automatycznie filtrowane. Przy próbie uzyskania przez użytkownika dostępu do serwera z użyciem niezaufanego certyfikatu, który użytkownik oznaczył jako zaufany (dodając go do listy zaufanych certyfikatów), komunikacja z serwerem nie zostanie zablokowana, a jej treść będzie filtrowana. Pytaj o nieodwiedzane witryny (można ustawić wyłączenia) — po przejściu do nowej witryny chronionej protokołem SSL (o nieznanym certyfikacie) będzie wyświetlane okno dialogowe z możliwością wyboru działania. W tym trybie można utworzyć listę certyfikatów SSL, które zostaną wyłączone ze skanowania. Nie skanuj protokołu SSL — po wybraniu tego ustawienia program nie będzie skanował komunikacji odbywającej się za pośrednictwem protokołu SSL. 76 Jeśli nie można zweryfikować certyfikatu w magazynie zaufanych głównych urzędów certyfikacji (Filtrowanie protokołów > SSL > Certyfikaty): Pytaj o ważność certyfikatu — pojawia się monit o wybór działania, jakie należy podjąć. Blokuj komunikacj ę używaj ącą certyfikatu — powoduje zakończenie połączenia z witryną używającą danego certyfikatu. Jeśli certyfikat stracił ważność lub jest uszkodzony (Filtrowanie protokołów > SSL > Certyfikaty): Pytaj o ważność certyfikatu — pojawia się monit o wybór działania, jakie należy podjąć. Blokuj komunikacj ę używaj ącą certyfikatu — powoduje zakończenie połączenia z witryną używającą danego certyfikatu. 4.1.6.1.1 Zaufane certyfikaty Jako uzupełnienie magazynu zaufanych głównych urzędów certyfikacji, w którym program ESET Mail Security przechowuje zaufane certyfikaty, można utworzyć niestandardową listę zaufanych certyfikatów. Aby ją wyświetlić, należy otworzyć okno Ustawienia zaawansowane (klawisz F5), a następnie wybrać kolejno opcje Filtrowanie protokołów > SSL > Certyfikaty > Certyfikaty zaufane. 4.1.6.1.2 Wyłączone certyfikaty Sekcja Wyłączone certyfikaty zawiera certyfikaty, które są uważane za bezpieczne. Zawartość szyfrowanej komunikacji korzystającej z certyfikatów znajdujących się na tej liście nie będzie sprawdzana pod kątem zagrożeń. Zalecane jest wykluczanie tylko takich certyfikatów sieciowych, których bezpieczeństwo jest zagwarantowane, a komunikacja odbywająca się z ich użyciem nie wymaga sprawdzania. 4.1.7 Ustawienia parametrów technologii ThreatSense ThreatSense to technologia obejmująca złożone metody wykrywania zagrożeń. Działa ona w sposób proaktywny, co oznacza, że zapewnia ochronę już od pierwszych godzin rozprzestrzeniania się nowego zagrożenia. Stosowana jest w niej kombinacja kilku metod (analiza kodu, emulacja kodu, sygnatury rodzajowe, sygnatury wirusów), które razem znacznie zwiększają bezpieczeństwo systemu. Korzystając z tej technologii skanowania, można kontrolować kilka strumieni danych jednocześnie, maksymalizując skuteczność i wskaźnik wykrywalności. Ponadto technologia ThreatSense pomyślnie eliminuje programy typu rootkit. Za pomocą ustawień technologii ThreatSense można określić kilka parametrów skanowania: typy i rozszerzenia plików, które mają być skanowane; kombinacje różnych metod wykrywania; poziomy leczenia itp. Aby otworzyć okno konfiguracji, należy kliknąć przycisk Ustawienia... znajdujący się w oknie ustawień każdego modułu, w którym wykorzystywana jest technologia ThreatSense (zobacz poniżej). Poszczególne scenariusze zabezpieczeń mogą wymagać różnych konfiguracji. Technologię ThreatSense można konfigurować indywidualnie dla następujących modułów ochrony: Ochrona systemu plików w czasie rzeczywistym 61 Sprawdzanie plików wykonywanych przy uruchamianiu systemu Ochrona poczty e-mail 65 Ochrona dostępu do stron internetowych 68 Skanowanie komputera na żądanie 71 Parametry technologii ThreatSense są w wysokim stopniu zoptymalizowane pod kątem poszczególnych modułów, a ich modyfikacja może znacząco wpływać na działanie systemu. Na przykład wybór opcji skanowania wszystkich plików spakowanych lub włączenie zaawansowanej heurystyki w module ochrony systemu plików w czasie rzeczywistym może spowodować spowolnienie działania systemu (w zwykłym trybie tylko nowo utworzone pliki są skanowane z użyciem tych metod). Dlatego zalecane jest pozostawienie niezmienionych parametrów domyślnych technologii ThreatSense dla wszystkich modułów z wyjątkiem modułu skanowania komputera na żądanie. 77 4.1.7.1 Ustawienia obiektów W sekcji Obiekty można określać, które pliki i składniki komputera będą skanowane w poszukiwaniu infekcji. Pamięć operacyj na – skanowanie w poszukiwaniu szkodliwego oprogramowania, które atakuje pamięć operacyjną komputera. Sektory startowe – skanowanie sektorów startowych w poszukiwaniu wirusów w głównym rekordzie rozruchowym. Pliki — skanowanie najczęściej używanych typów plików (programów, obrazów, plików audio, plików wideo, plików baz danych itd.). Pliki poczty – skanowanie specjalnych plików zawierających wiadomości e-mail. Archiwa — skanowanie plików skompresowanych w archiwach (RAR, ZIP, ARJ, TAR itd.). Archiwa samorozpakowuj ące – skanowanie plików znajdujących się w archiwach samorozpakowujących, które mają zwykle rozszerzenie EXE. Pliki spakowane — oprócz standardowych statycznych spakowanych plików skanowanie obejmuje też pliki, które (w odróżnieniu od standardowych typów archiwów) są rozpakowywane w pamięci (UPX, yoda, ASPack, FGS itp.). UWAGA: Niebieska kropka wyświetlana obok parametru informuje, że jego bieżące ustawienie jest różne od ustawienia dla innych modułów, które również używają technologii ThreatSense. Ponieważ parametr można skonfigurować inaczej dla każdego modułu, niebieska kropka jedynie przypomina, że parametr jest skonfigurowany inaczej dla innych modułów. Brak niebieskiej kropki oznacza, że parametr jest skonfigurowany tak samo dla wszystkich modułów. 4.1.7.2 Opcj e W sekcji Opcj e można wybrać metody, które mają być stosowane podczas skanowania systemu w poszukiwaniu infekcji. Dostępne są następujące opcje: Heurystyka — heurystyka korzysta z algorytmu analizującego działania (szkodliwe) podejmowane przez programy. Główną zaletą heurystyki jest możliwość wykrywania nowego szkodliwego oprogramowania, które wcześniej nie istniało lub nie zostało umieszczone na liście znanych wirusów (w bazie sygnatur wirusów). Zaawansowana heurystyka — zaawansowana heurystyka jest oparta na unikatowym algorytmie heurystycznym opracowanym przez firmę ESET. Został on zoptymalizowany pod kątem wykrywania robaków i koni trojańskich napisanych w językach programowania wysokiego poziomu. Dzięki zaawansowanej heurystyce znacznie wzrosła skuteczność wykrywania zagrożeń przez program. Potencj alnie niepożądane aplikacj e — aplikacje potencjalnie niepożądane nie muszą być tworzone w złych intencjach, ale mogą negatywnie wpływać na wydajność komputera. Zainstalowanie takiej aplikacji zazwyczaj 78 wymaga zgody użytkownika. Po zainstalowaniu programu z tej kategorii działanie systemu jest inne niż przed instalacją. Najbardziej widoczne zmiany to wyświetlanie wyskakujących okienek, aktywacja i uruchamianie ukrytych procesów, zwiększone użycie zasobów systemowych, zmiany w wynikach wyszukiwania oraz komunikowanie się aplikacji ze zdalnymi serwerami. Potencj alnie niebezpieczne aplikacj e — do aplikacji potencjalnie niebezpiecznych zaliczane są niektóre legalne programy komercyjne. Są to m.in. narzędzia do dostępu zdalnego, dlatego ta opcja jest domyślnie wyłączona. Potencj alnie niebezpieczne załączniki Opcja Potencjalnie niebezpieczne załączniki zapewnia ochronę przed szkodliwymi zagrożeniami, które rozprzestrzeniają się za pośrednictwem załączników do wiadomości e-mail, takich jak konie trojańskie typu ransomware. Jednym z przykładów tego rodzaju zagrożeń może być plik wykonywalny sprawiający wrażenie standardowego dokumentu (np. PDF), który po otwarciu przez użytkownika umożliwia zagrożeniu przeniknięcie do systemu. Zagrożenie podejmuje następnie próbę zrealizowania szkodliwych celów. UWAGA: Niebieska kropka wyświetlana obok parametru informuje, że jego bieżące ustawienie jest różne od ustawienia dla innych modułów, które również używają technologii ThreatSense. Ponieważ parametr można skonfigurować inaczej dla każdego modułu, niebieska kropka jedynie przypomina, że parametr jest skonfigurowany inaczej dla innych modułów. Brak niebieskiej kropki oznacza, że parametr jest skonfigurowany tak samo dla wszystkich modułów. 79 4.1.7.3 Leczenie Ustawienia leczenia określają sposób działania skanera w stosunku do zainfekowanych plików. Określone zostały 3 poziomy leczenia: Brak leczenia — zainfekowane pliki nie są automatycznie leczone. Program wyświetla okno z ostrzeżeniem, a użytkownik sam wybiera żądane działanie. Leczenie standardowe — program próbuje automatycznie wyleczyć lub usunąć zainfekowany plik. Jeśli automatyczny wybór właściwego działania nie jest możliwy, program umożliwia użytkownikowi wybór dostępnych działań. Są one wyświetlane również wtedy, gdy wykonanie wstępnie zdefiniowanego działania nie jest możliwe. Leczenie dokładne — program leczy lub usuwa wszystkie zainfekowane pliki (w tym archiwa). Jedyny wyjątek stanowią pliki systemowe. Jeśli ich wyleczenie nie jest możliwe, użytkownik może wybrać działanie w oknie z ostrzeżeniem. Ostrzeżenie: W trybie domyślnym cały plik archiwum jest usuwany tylko wtedy, gdy wszystkie pliki w tym archiwum są zainfekowane. Jeśli zawiera również niezainfekowane pliki, nie jest usuwany. Jeśli zainfekowany plik archiwum zostanie wykryty w trybie Leczenie dokładne, od razu usuwane jest całe archiwum, nawet jeśli zawiera również niezainfekowane pliki. UWAGA: Niebieska kropka wyświetlana obok parametru informuje, że jego bieżące ustawienie jest różne od ustawienia dla innych modułów, które również używają technologii ThreatSense. Ponieważ parametr można skonfigurować inaczej dla każdego modułu, niebieska kropka jedynie przypomina, że parametr jest skonfigurowany inaczej dla innych modułów. Brak niebieskiej kropki oznacza, że parametr jest skonfigurowany tak samo dla wszystkich modułów. 80 4.1.7.4 Rozszerzenia Rozszerzenie jest częścią nazwy pliku oddzieloną kropką. Określa ono typ i zawartość pliku. Ta sekcja ustawień parametrów technologii ThreatSense umożliwia określanie typów plików, które mają być skanowane. Domyślnie skanowane są wszystkie pliki niezależnie od rozszerzenia. Do listy plików wyłączonych ze skanowania można dodać dowolne rozszerzenie. Po usunięciu zaznaczenia pola wyboru Skanuj wszystkie pliki na liście widoczne są wszystkie skanowane aktualnie rozszerzenia plików. Przy użyciu przycisków Dodaj i Usuń można włączyć lub wyłączyć skanowanie określonych rozszerzeń. Aby włączyć skanowanie plików bez rozszerzenia, należy zaznaczyć pole wyboru Skanuj pliki bez rozszerzeń. Wykluczenie plików ze skanowania jest czasami konieczne, jeśli skanowanie pewnych typów plików uniemożliwia prawidłowe działanie programu, który z nich korzysta. Na przykład podczas używania serwerów programu Microsoft Exchange może być wskazane wyłączenie rozszerzeń EDB, EML i TMP. UWAGA: Niebieska kropka wyświetlana obok parametru informuje, że jego bieżące ustawienie jest różne od ustawienia dla innych modułów, które również używają technologii ThreatSense. Ponieważ parametr można skonfigurować inaczej dla każdego modułu, niebieska kropka jedynie przypomina, że parametr jest skonfigurowany inaczej dla innych modułów. Brak niebieskiej kropki oznacza, że parametr jest skonfigurowany tak samo dla wszystkich modułów. 4.1.7.5 Limity W sekcji Limity można określić maksymalny rozmiar obiektów i poziomy zagnieżdżonych archiwów, które mają być skanowane: Maksymalny rozmiar obiektu – określa maksymalny rozmiar obiektów do skanowania. Dany moduł antywirusowy będzie skanować tylko obiekty o rozmiarze mniejszym niż określony. Nie zaleca się zmieniania wartości domyślnej, ponieważ zazwyczaj nie ma ku temu powodu. Do modyfikowania tej opcji powinni przystępować tylko zaawansowani użytkownicy, mający określone powody do wykluczenia większych obiektów ze skanowania. Maksymalny czas skanowania dla obiektu (w sek.) – określa maksymalny czas przyznany na skanowanie obiektu. Jeśli wprowadzono tu wartość zdefiniowaną przez użytkownika, moduł antywirusowy zatrzyma skanowanie obiektu po upływie danego czasu, niezależnie od tego, czy skanowanie zostało zakończone. Poziom zagnieżdżania archiwów – określa maksymalną głębokość skanowania archiwów. Nie zaleca się zmieniania wartości domyślnej (równej 10); w normalnych warunkach nie powinno być powodów do jej modyfikacji. Jeśli skanowanie zostanie przedwcześnie zakończone z powodu liczby zagnieżdżonych archiwów, archiwum pozostanie niesprawdzone. Maksymalny rozmiar pliku w archiwum – opcja ta pozwala określić maksymalny rozmiar plików znajdujących się w archiwach (po rozpakowaniu tych plików), które mają być skanowane. Jeśli spowoduje to przedwczesne 81 zakończenie skanowania, archiwum pozostanie niesprawdzone. UWAGA: Niebieska kropka wyświetlana obok parametru informuje, że jego bieżące ustawienie jest różne od ustawienia dla innych modułów, które również używają technologii ThreatSense. Ponieważ parametr można skonfigurować inaczej dla każdego modułu, niebieska kropka jedynie przypomina, że parametr jest skonfigurowany inaczej dla innych modułów. Brak niebieskiej kropki oznacza, że parametr jest skonfigurowany tak samo dla wszystkich modułów. 4.1.7.6 Inne Skanuj alternatywne strumienie danych (ADS) – alternatywne strumienie danych (ADS) używane w systemie plików NTFS to skojarzenia plików i folderów, których nie można sprawdzić za pomocą standardowych technik skanowania. Wiele wirusów stara się uniknąć wykrycia, udając alternatywne strumienie danych. Uruchom skanowanie w tle z niskim priorytetem – każde skanowanie wymaga użycia pewnej ilości zasobów systemowych. W przypadku używania programów, które wymagają dużej ilości zasobów systemowych, skanowanie można uruchomić z niskim priorytetem w tle, oszczędzając zasoby dla innych aplikacji. Zapisuj w dzienniku wszystkie obiekty – wybranie tej opcji powoduje, że w pliku dziennika są zapisywane informacje o wszystkich skanowanych plikach, nawet tych niezainfekowanych. Włącz inteligentną optymalizacj ę – wybranie tej opcji powoduje, że przeskanowane już pliki nie są ponownie skanowane (o ile nie zostały zmodyfikowane). Pliki są niezwłocznie skanowane ponownie po każdej aktualizacji bazy sygnatur wirusów. Zachowaj znacznik czasowy ostatniego dostępu – wybranie tej opcji pozwala zachować oryginalny znacznik czasowy dostępu do plików zamiast jego aktualizacji (do użytku z systemami wykonywania kopii zapasowych danych). Przewij aj dziennik skanowania – opcja ta umożliwia włączenie lub wyłączenie przewijania dziennika. Po jej zaznaczeniu informacje wyświetlane w oknie są przewijane w górę. Wyświetl powiadomienie o zakończeniu skanowania w osobnym oknie – powoduje otwarcie osobnego okna z informacjami o wynikach skanowania. UWAGA: Niebieska kropka wyświetlana obok parametru informuje, że jego bieżące ustawienie jest różne od ustawienia dla innych modułów, które również używają technologii ThreatSense. Ponieważ parametr można skonfigurować inaczej dla każdego modułu, niebieska kropka jedynie przypomina, że parametr jest skonfigurowany inaczej dla innych modułów. Brak niebieskiej kropki oznacza, że parametr jest skonfigurowany tak samo dla wszystkich modułów. 4.1.8 Wykryto infekcj ę System może zostać zainfekowany z różnych źródeł, takich jak strony internetowe, udostępnione foldery, poczta email lub wymienne nośniki komputerowe (USB, dyski zewnętrzne, płyty CD i DVD, dyskietki itd.). Jeśli komputer wykazuje symptomy zainfekowania szkodliwym oprogramowaniem, na przykład działa wolniej lub często przestaje odpowiadać, zalecane jest wykonanie następujących czynności: Uruchom program ESET Mail Security i kliknij opcję Skanowanie komputera. Kliknij opcję Skanowanie inteligentne (więcej informacji można znaleźć w sekcji Skanowanie inteligentne Po zakończeniu skanowania przejrzyj dziennik, aby sprawdzić liczbę przeskanowanych, zainfekowanych i wyleczonych plików. 72 ). Aby przeskanować tylko określoną część dysku, kliknij opcję Skanowanie niestandardowe i wybierz obiekty, które mają zostać przeskanowane w poszukiwaniu wirusów. Ogólnym przykładem sposobu działania programu ESET Mail Security w przypadku wykrycia infekcji może być sytuacja, w której infekcję wykrywa działający w czasie rzeczywistym monitor systemu plików z ustawionym domyślnym poziomem leczenia. Następuje wtedy próba wyleczenia lub usunięcia pliku. Jeżeli nie określono wstępnie czynności do wykonania przez moduł ochrony w czasie rzeczywistym, pojawi się okno alertu z monitem o wybranie opcji. Zazwyczaj dostępne są opcje Wylecz, Usuń i Pozostaw. Nie zaleca się wybierania opcji Pozostaw, ponieważ powoduje to pozostawienie zainfekowanych plików bez zmian. Jedyny wyjątek stanowi sytuacja, w której użytkownik ma pewność, że dany plik jest nieszkodliwy i został wykryty błędnie. Leczenie i usuwanie — leczenie należy stosować w przypadku zainfekowanego pliku, do którego wirus dołączył 82 szkodliwy kod. Należy najpierw podjąć próbę wyleczenia zainfekowanego pliku w celu przywrócenia go do stanu pierwotnego. Jeśli plik zawiera wyłącznie szkodliwy kod, jest usuwany w całości. Jeśli zainfekowany plik jest zablokowany lub używany przez proces systemowy, jest zazwyczaj usuwany po odblokowaniu (najczęściej po ponownym uruchomieniu systemu). Usuwanie plików w archiwach — w domyślnym trybie leczenia całe archiwum jest usuwane tylko wtedy, gdy zawiera wyłącznie zainfekowane pliki i nie ma w nim żadnych niezainfekowanych plików. Oznacza to, że archiwa nie są usuwane, jeśli zawierają również nieszkodliwe, niezainfekowane pliki. Należy jednak zachować ostrożność podczas skanowania w trybie leczenia dokładnego, ponieważ w trybie tym każde archiwum zawierające co najmniej jeden zainfekowany plik jest usuwane bez względu na stan pozostałych zawartych w nim plików. 4.2 Aktualizowanie programu Regularna aktualizacja programu ESET Mail Security to podstawowa czynność gwarantująca utrzymanie najwyższego poziomu ochrony. Moduł aktualizacji zapewnia aktualność programu na dwa sposoby – przez aktualizowanie bazy sygnatur wirusów oraz aktualizowanie składników systemu. Klikając w menu głównym opcję Aktualizacj a, można sprawdzić bieżący stan aktualizacji, w tym datę i godzinę ostatniej pomyślnej aktualizacji oraz ustalić, czy w danej chwili należy przeprowadzić aktualizację. W głównym oknie jest również wyświetlana wersja bazy sygnatur wirusów. Ten liczbowy wskaźnik stanowi aktywne łącze do witryny internetowej firmy ESET zawierającej listę wszystkich sygnatur dodanych podczas określonej aktualizacji. Dostępna jest również opcja ręcznej aktualizacji – Aktualizuj bazę sygnatur wirusów – oraz podstawowe opcje konfiguracji aktualizacji, takie jak nazwa użytkownika i hasło do serwerów aktualizacji firmy ESET. Łącze Aktywacj a produktu umożliwia otwarcie formularza rejestracji, dzięki któremu można aktywować produkt firmy ESET oraz otrzymać wiadomość e-mail zawierającą dane uwierzytelniające (nazwę użytkownika oraz hasło). 83 UWAGA: Nazwa użytkownika i hasło są podawane przez firmę ESET po zakupie programu ESET Mail Security. 84 4.2.1 Ustawienia aktualizacj i Sekcja ustawień aktualizacji umożliwia określenie informacji o źródle aktualizacji, w tym serwerów aktualizacji i dotyczących ich danych uwierzytelniających. Domyślnie w menu rozwijanym Serwer aktualizacj i jest zaznaczona opcja Wybierz automatycznie. Zapewnia ona automatyczne pobieranie plików aktualizacji z serwera firmy ESET przy jak najmniejszym obciążaniu sieci. Ustawienia aktualizacji są dostępne w drzewie ustawień zaawansowanych (klawisz F5) w części Aktualizacj a. Lista dostępnych serwerów aktualizacji jest wyświetlana w menu rozwijanym Serwer aktualizacj i. Aby dodać nowy serwer aktualizacji, kliknij przycisk Edytuj w sekcji Ustawienia aktualizacj i dla wybranego profilu, a następnie kliknij przycisk Dodaj . Uwierzytelnianie na serwerach aktualizacji jest oparte na ustawieniach Nazwa użytkownika i Hasło wygenerowanych i dostarczonych użytkownikowi w momencie zakupu programu. 85 4.2.1.1 Profile aktualizacj i Dla różnych konfiguracji i zadań aktualizacji można tworzyć profile aktualizacji. Tworzenie profili aktualizacji jest szczególnie przydatne w przypadku użytkowników mobilnych, ponieważ mogą oni utworzyć alternatywny profil dla połączenia internetowego, którego właściwości regularnie się zmieniają. W menu rozwijanym Wybrany profil jest wyświetlany aktualnie wybrany profil (domyślnie Mój profil). Aby utworzyć nowy profil, kliknij przycisk Profile, a następnie kliknij przycisk Dodaj i wprowadź własną nazwę w polu Nazwa profilu. Podczas tworzenia nowego profilu można skopiować ustawienia istniejącego profilu, wybierając go z menu rozwijanego Kopiuj ustawienia z profilu. W oknie konfiguracji profilu można określić serwer aktualizacji, wybierając go z listy dostępnych serwerów, lub można dodać nowy serwer. Menu rozwijane Serwer aktualizacj i zawiera listę istniejących serwerów aktualizacji. Aby dodać nowy serwer aktualizacji, kliknij przycisk Edytuj w sekcji Ustawienia aktualizacj i dla wybranego profilu, a następnie kliknij przycisk Dodaj . 4.2.1.2 Zaawansowane ustawienia aktualizacj i Aby wyświetlić okno zaawansowanych ustawień aktualizacji, należy kliknąć przycisk Ustawienia... Do zaawansowanych ustawień aktualizacji należą m.in. Tryb aktualizacj i, Proxy HTTP, Sieć LAN i Kopia dystrybucyj na. 4.2.1.2.1 Tryb aktualizacj i Na karcie Tryb aktualizacj i dostępne są opcje związane z aktualizacją komponentów programu. W sekcji Aktualizacj a komponentu programu dostępne są trzy ustawienia: Nigdy nie aktualizuj komponentów programu: nowe aktualizacje komponentów programu nie będą pobierane. Zawsze aktualizuj komponenty programu: nowe aktualizacje komponentów programu będą automatycznie pobierane i instalowane. Pytaj przed pobraniem komponentów programu: ustawienie domyślne. Po udostępnieniu aktualizacji komponentów programu będzie pojawiać się monit o potwierdzenie lub odrzucenie ich pobrania i zainstalowania. 86 Po zaktualizowaniu komponentów programu konieczne może być ponowne uruchomienie komputera w celu zapewnienia pełnej funkcjonalności wszystkich modułów. W sekcji Uruchom ponownie po uaktualnieniu komponentu programu można wybrać jedno z następujących ustawień: Nigdy nie uruchamiaj ponownie komputera W razie potrzeby zaoferuj ponowne uruchomienie komputera W razie potrzeby uruchom ponownie komputer bez powiadomienia Ustawieniem domyślnym jest W razie potrzeby zaoferuj ponowne uruchomienie komputera. Wybór najodpowiedniejszego ustawienia zależy od stacji roboczej, której będzie ono dotyczyć. Należy pamiętać o różnicach między stacjami roboczymi a serwerami. Na przykład automatyczne ponowne uruchomienie serwera po uaktualnieniu programu mogłoby spowodować poważne szkody. 87 4.2.1.2.2 Serwer proxy W programie ESET Mail Security konfiguracja serwera proxy jest dostępna w dwóch sekcjach drzewa ustawień zaawansowanych. Po pierwsze, ustawienia serwera proxy można skonfigurować, wybierając kolejno opcje Inne > Serwer proxy. Określenie serwera proxy na tym poziomie powoduje zdefiniowanie globalnych ustawień serwera proxy dla całego programu ESET Mail Security. Wprowadzone w tym miejscu parametry będą używane przez wszystkie moduły, które wymagają połączenia internetowego. Aby określić ustawienia serwera proxy na tym poziomie, należy zaznaczyć pole wyboru Użyj serwera proxy, a następnie wprowadzić adres serwera w polu Serwer proxy oraz jego numer portu w polu Port. Jeśli serwer proxy wymaga uwierzytelniania, należy zaznaczyć pole wyboru Serwer proxy wymaga uwierzytelniania i wprowadzić w odpowiednie dane w polach Nazwa użytkownika i Hasło. Kliknięcie przycisku Wykryj serwer proxy spowoduje automatyczne wykrycie i wprowadzenie ustawień serwera proxy. Zostaną skopiowane parametry określone w programie Internet Explorer. UWAGA: Dane uwierzytelniające (nazwa użytkownika i hasło) nie są automatycznie kopiowane i trzeba je wprowadzić ręcznie. Ustawienia serwera proxy można też skonfigurować w sekcji zaawansowanych ustawień aktualizacji. Mają one wówczas zastosowanie do danego profilu aktualizacji. Dostęp do ustawień serwera proxy dla danego profilu aktualizacji można uzyskać, klikając kartę Proxy HTTP w oknie Zaawansowane ustawienia aktualizacj i. Można wybrać jedno z trzech ustawień: Użyj globalnych ustawień serwera proxy Nie używaj serwera proxy Połączenie przez serwer proxy (zdefiniowane przy użyciu jego właściwości) Wybór ustawienia Użyj globalnych ustawień serwera proxy spowoduje używanie ustawień serwera proxy wprowadzonych w gałęzi Inne > Serwer proxy drzewa ustawień zaawansowanych (zgodnie z opisem na początku niniejszego artykułu). 88 Aby przy aktualizacji programu ESET Mail Security nie korzystać z serwera proxy, należy wybrać ustawienie Nie używaj serwera proxy. Ustawienie Połączenie przez serwer proxy należy wybrać, jeśli aktualizowanie programu ESET Mail Security ma się odbywać z użyciem serwera proxy, ale innego niż skonfigurowany w ustawieniach globalnych (Inne > Serwer proxy). W takiej sytuacji należy wprowadzić dodatkowe ustawienia: adres serwera proxy i jego port komunikacyjny oraz nazwę użytkownika i hasło, jeśli są wymagane w przypadku danego serwera. Opcję tę należy również wybrać wtedy, gdy parametry serwera proxy nie zostały określone globalnie, ale program ESET Mail Security będzie się łączyć z serwerem proxy przy pobieraniu aktualizacji. Ustawieniem domyślnym jest Użyj globalnych ustawień serwera proxy. 4.2.1.2.3 Połączenie z siecią LAN Na potrzeby pobierania aktualizacji z serwera lokalnego z systemem operacyjnym opartym na systemie Windows NT domyślnie wymagane jest uwierzytelnianie każdego połączenia sieciowego. W większości przypadków konto użytkownika w systemie lokalnym nie ma wystarczających uprawnień dostępu do folderu kopii dystrybucyjnej (zawierającego kopie plików aktualizacji). Należy wówczas wprowadzić nazwę użytkownika i hasło w sekcji ustawień aktualizacji lub wskazać istniejące już konto, w przypadku którego program będzie mógł uzyskać dostęp do serwera aktualizacji (kopii dystrybucyjnej). Aby skonfigurować takie konto, należy kliknąć kartę Sieć LAN. W sekcji Połącz z serwerem aktualizacj i j ako znajdują się następujące ustawienia: Konto systemowe (domyślnie), Bieżący użytkownik i Określony użytkownik. 89 Aby do uwierzytelniania używać konta systemowego, należy wybrać ustawienie Konto systemowe (domyślnie). Zazwyczaj uwierzytelnianie nie jest przeprowadzane, jeśli w głównej sekcji ustawień aktualizacji nie podano danych uwierzytelniających. Aby mieć pewność, że program uwierzytelnia się, korzystając z konta aktualnie zalogowanego użytkownika, należy wybrać ustawienie Bieżący użytkownik. Wadą tego rozwiązania jest to, że program nie jest w stanie połączyć się z serwerem aktualizacji, jeśli akurat nie jest zalogowany żaden użytkownik. Jeśli przy uwierzytelnianiu program ma używać określonego konta użytkownika, należy wybrać ustawienie Określony użytkownik. Ostrzeżenie: Jeśli wybrane jest ustawienie Bieżący użytkownik lub Określony użytkownik, przy zmianie tożsamości w programie na żądanego użytkownika może wystąpić błąd. Zalecane jest podanie danych uwierzytelniających w sieci LAN w głównej sekcji ustawień aktualizacji. Należy wprowadzić następujące informacje: nazwa_domeny\użytkownik (w przypadku grupy roboczej nazwa_grupy_roboczej\nazwa) oraz hasło. W przypadku aktualizacji z wersji HTTP serwera lokalnego uwierzytelnianie nie jest wymagane. 90 4.2.1.2.4 Tworzenie kopii aktualizacj i — kopia dystrybucyj na Program ESET Mail Security pozwala na tworzenie kopii plików aktualizacji, których można używać do aktualizowania innych stacji roboczych znajdujących się w sieci. Aktualizowanie klienckich stacji roboczych przy użyciu kopii dystrybucyjnej pozwala na oszczędne korzystanie z przepustowości połączenia internetowego. Opcje konfiguracji lokalnego serwera kopii dystrybucyjnej są dostępne (po dodaniu prawidłowego klucza licencyjnego w menedżerze licencji znajdującym się w sekcji ustawień zaawansowanych programu ESET Mail Security) w sekcji Zaawansowane ustawienia aktualizacj i. . Aby uzyskać do niej dostęp, należy nacisnąć klawisz F5, kliknąć w drzewie ustawień zaawansowanych pozycję Aktualizacj a, a następnie kliknąć przycisk Ustawienia... obok opcji Zaawansowane ustawienia aktualizacj i i wybrać kartę Kopia dystrybucyj na. Pierwszą czynnością w ramach konfigurowania kopii dystrybucyjnej jest wybranie opcji Utwórz kopię dystrybucyjną aktualizacji. Powoduje to uaktywnienie innych opcji konfiguracji kopii dystrybucyjnej, na przykład sposobu udostępniania plików aktualizacji oraz ścieżki dostępu do kopii dystrybucyjnej aktualizacji. Metody uaktywniania kopii dystrybucyjnej opisano szczegółowo w sekcji Aktualizowanie przy użyciu kopii dystrybucyjnej 92 . Należy zwrócić uwagę na fakt, że występują dwie podstawowe metody dostępu do kopii dystrybucyjnej: folder z plikami aktualizacji może być udostępniany jako folder sieciowy lub jako serwer HTTP. Folder przeznaczony do przechowywania plików aktualizacji na potrzeby kopii dystrybucyjnej należy wskazać w sekcji Folder przechowywania kopii dystrybucyj nej aktualizacj i. Należy kliknąć przycisk Folder..., aby przejść do folderu na komputerze lokalnym lub do udostępnionego folderu sieciowego. Jeśli dany folder wymaga autoryzacji, należy wprowadzić dane uwierzytelniające w polach Nazwa użytkownika i Hasło. Nazwę użytkownika i hasło należy wprowadzić w formacie domena/użytkownik lub grupa_robocza/użytkownik. Należy pamiętać o podaniu odpowiednich haseł. Podczas konfigurowania kopii dystrybucyjnej użytkownik może też określić wersje językowe, dla których mają być pobierane kopie plików aktualizacji. Ustawienia wersji językowej są dostępne w sekcji Pliki — Dostępne wersj e. UWAGA: Baza danych modułu antyspamowego nie może być aktualizowana przy użyciu kopii dystrybucyjnej. Aby uzyskać więcej informacji na temat poprawnego aktualizowania bazy danych modułu antyspamowego, kliknij tutaj 38 . 91 4.2.1.2.4.1 Aktualizowanie przy użyciu kopii dystrybucyj nej Występują dwie podstawowe metody dostępu do kopii dystrybucyjnej: folder z plikami aktualizacji może być udostępniany jako folder sieciowy lub jako serwer HTTP. Uzyskiwanie dostępu do kopii dystrybucyj nej przy użyciu wewnętrznego serwera HTTP Jest to ustawienie domyślne, wybrane we wstępnie zdefiniowanej konfiguracji programu. Aby zezwolić na dostęp do plików kopii dystrybucyjnej przy użyciu serwera HTTP, należy przejść do sekcji Zaawansowane ustawienia aktualizacj i (karta Kopia dystrybucyj na) i wybrać opcję Utwórz kopię dystrybucyj ną aktualizacj i. W sekcji Ustawienia zaawansowane na karcie Kopia dystrybucyj na można określić Port serwera, na którym będzie nasłuchiwał serwer HTTP, a także typ uwierzytelniania stosowanego na serwerze HTTP. Domyślnie ustawiony jest port serwera numer 2221. W ramach opcji Uwierzytelnianie można określić metodę uwierzytelniania dostępu do plików aktualizacji. Dostępne są następujące opcje: BRAK, Podstawowe i NTLM. Wybranie ustawienia Podstawowe spowoduje stosowanie kodowania base64 i podstawowej metody uwierzytelniania, opartej na nazwie użytkownika i haśle. Opcja NTLM umożliwia uwierzytelnianie przy użyciu bezpiecznego kodowania. Na potrzeby uwierzytelniania używane jest konto użytkownika utworzone na stacji roboczej udostępniającej pliki aktualizacji. Ustawienie domyślne BRAK zapewnia dostęp do plików aktualizacji bez konieczności uwierzytelniania. Ostrzeżenie: Aby dostęp do plików aktualizacji był możliwy za pośrednictwem serwera HTTP, folder kopii dystrybucyjnej musi znajdować się na tym samym komputerze co program ESET Mail Security, za pomocą którego folder ten został utworzony. Po zakończeniu konfigurowania kopii dystrybucyjnej należy wprowadzić na stacjach roboczych nowy adres serwera aktualizacji w formacie http://adres_IP_serwera:2221. W tym celu: Wyświetl w programie ESET Mail Security drzewo Ustawienia zaawansowane i kliknij gałąź Aktualizacj a. Kliknij przycisk Edytuj … po prawej stronie menu rozwijanego Serwer aktualizacj i i dodaj nowy serwer w następującym formacie: http://adres_IP_serwera:2221. Wybierz nowo dodany serwer z listy serwerów aktualizacji. Uzyskiwanie dostępu do kopii dystrybucyj nej za pośrednictwem udziałów systemowych Najpierw na urządzeniu lokalnym lub sieciowym należy utworzyć udostępniony folder. Podczas tworzenia folderu przeznaczonego do przechowywania kopii dystrybucyjnych konieczne jest zapewnienie dostępu z uprawnieniami do zapisu dla użytkownika, który będzie zapisywać pliki w folderze, oraz dostępu z uprawnieniami do odczytu dla wszystkich użytkowników, którzy będą aktualizować program ESET Mail Security przy użyciu tej metody. Następnie należy skonfigurować dostęp do kopii dystrybucyjnej w sekcji Zaawansowane ustawienia aktualizacj i (karta Kopia dystrybucyj na), wyłączając opcję Udostępnij pliki aktualizacj i za pośrednictwem wewnętrznego serwera HTTP. Ta opcja jest domyślnie włączona w pakiecie instalacyjnym programu. Jeśli udostępniony folder znajduje się na innym komputerze w sieci, należy koniecznie określić metodę 92 uwierzytelniania wymaganą w celu uzyskania do niego dostępu. Aby wprowadzić dane uwierzytelniające, należy wyświetlić w programie ESET Mail Security drzewo ustawień zaawansowanych (klawisz F5) i kliknąć gałąź Aktualizacj a. Należy kliknąć przycisk Ustawienia..., a następnie kliknąć kartę Sieć LAN. Jest to to samo ustawienie, które należy skonfigurować na potrzeby aktualizacji zgodnie z opisem w rozdziale Połączenie z siecią LAN 89 . Po skonfigurowaniu kopii dystrybucyjnej na stacjach roboczych należy podać lokalizację serwera aktualizacji w formacie \\ŚCIEŻKA_UNC\ŚCIEŻKA. W tym celu: Wyświetl w programie ESET Mail Security drzewo ustawień zaawansowanych i kliknij gałąź Aktualizacj a. Kliknij przycisk Edytuj ... znajdujący się obok opcji Serwer aktualizacji i podaj lokalizację nowego serwera w formacie \\ŚCIEŻKA_UNC\ŚCIEŻKA. Wybierz nowo dodany serwer z listy serwerów aktualizacji. UWAGA: Aby zapewnić prawidłowe działanie, ścieżkę do folderu kopii dystrybucyjnej należy podać w formacie UNC. Pobieranie aktualizacji z dysków zmapowanych może nie działać. 4.2.1.2.4.2 Rozwiązywanie problemów z aktualizacj ą przy użyciu kopii dystrybucyj nej W większości przypadków problemy występujące podczas aktualizacji przy użyciu serwera kopii dystrybucyjnych są powodowane przez jedną z następujących przyczyn: nieprawidłowe skonfigurowanie opcji folderu kopii dystrybucyjnej, nieprawidłowe dane uwierzytelniania w folderze kopii dystrybucyjnej, nieprawidłowa konfiguracja na lokalnych stacjach roboczych próbujących pobrać pliki aktualizacji z kopii dystrybucyjnej. Przyczyny te mogą występować razem. Poniżej omówiono najczęstsze problemy dotyczące aktualizacji przy użyciu kopii dystrybucyjnej: Program ESET Mail Security zgłasza wystąpienie błędu podczas łączenia się z serwerem kopii dystrybucyj nej — problem ten jest prawdopodobnie spowodowany nieprawidłowym skonfigurowaniem serwera aktualizacji (ścieżki sieciowej do folderu kopii dystrybucyjnej), z którego lokalne stacje robocze pobierają aktualizacje. Aby sprawdzić folder, należy kliknąć w systemie Windows przycisk Start, kliknąć polecenie Uruchom, wpisać nazwę folderu i kliknąć przycisk OK. Wyświetlona powinna zostać zawartość folderu. Program ESET Mail Security wymaga nazwy użytkownika i hasła — problem ten jest prawdopodobnie spowodowany podaniem w sekcji aktualizacji nieprawidłowych danych uwierzytelniających (nazwy użytkownika i hasła). Nazwa użytkownika i hasło umożliwiają uzyskanie dostępu do serwera aktualizacji, który zostanie użyty do zaktualizowania programu. Należy się upewnić, że dane uwierzytelniające są prawidłowe i zostały wprowadzone we właściwym formacie, na przykład domena/użytkownik lub grupa_robocza/użytkownik plus odpowiednie hasło. Jeśli serwer kopii dystrybucyjnej jest dostępny „dla wszystkich”, należy mieć świadomość, że nie oznacza to, iż każdy użytkownik otrzyma dostęp. „Wszyscy” nie oznacza dowolnego nieautoryzowanego użytkownika. Oznacza to jedynie, że folder jest dostępny dla wszystkich użytkowników w ramach domeny. Dlatego nawet w takim przypadku należy wprowadzić w sekcji ustawień aktualizacji nazwę użytkownika domeny i hasło. Program ESET Mail Security zgłasza wystąpienie błędu podczas łączenia się z serwerem kopii dystrybucyj nej — komunikacja przez port określony dla serwera HTTP udostępniającego kopię dystrybucyjną jest zablokowana. 4.2.2 Tworzenie zadań aktualizacj i Aktualizacje można uruchamiać ręcznie, klikając opcję Aktualizuj bazę sygnatur wirusów w oknie głównym wyświetlanym po kliknięciu opcji Aktualizacja w menu głównym. Inną możliwością jest wykonywanie aktualizacji jako zaplanowanych zadań. Aby skonfigurować zaplanowanie zadanie, kliknij kolejno opcje Narzędzia > Harmonogram. Domyślnie w programie ESET Mail Security są aktywne następujące zadania: Regularne aktualizacj e automatyczne Automatyczna aktualizacj a po nawiązaniu połączenia modemowego Automatyczna aktualizacj a po zalogowaniu użytkownika Każde z zadań aktualizacji można zmodyfikować zgodnie z potrzebami użytkownika. Oprócz domyślnych zadań aktualizacji można tworzyć nowe zadania z konfiguracją zdefiniowaną przez użytkownika. Więcej szczegółowych informacji na temat tworzenia i konfigurowania zadań aktualizacji można znaleźć w sekcji Harmonogram 94 . 93 4.3 Harmonogram Harmonogram jest dostępny, gdy w programie ESET Mail Security zostanie włączony tryb zaawansowany. Opcja Harmonogram znajduje się w menu głównym programu ESET Mail Security w kategorii Narzędzia. Okno Harmonogram zawiera listę wszystkich zaplanowanych zadań oraz ich właściwości konfiguracyjne, takie jak wstępnie zdefiniowany dzień, godzina i używany profil skanowania. Domyślnie w oknie Harmonogram są wyświetlane następujące zaplanowane zadania: Regularne aktualizacj e automatyczne Automatyczna aktualizacj a po nawiązaniu połączenia modemowego Automatyczna aktualizacj a po zalogowaniu użytkownika Automatyczne sprawdzanie plików przy uruchamianiu (po zalogowaniu użytkownika) Automatyczne sprawdzanie plików przy uruchamianiu (po pomyślnej aktualizacj i bazy sygnatur wirusów) Aby zmodyfikować konfigurację istniejącego zaplanowanego zadania (zarówno domyślnego, jak i zdefiniowanego przez użytkownika), należy kliknąć prawym przyciskiem myszy zadanie i wybrać opcję Edytuj lub wybrać zadanie, które ma zostać zmodyfikowane, i kliknąć przycisk Edytuj . 4.3.1 Cel planowania zadań Harmonogram służy do zarządzania zaplanowanymi zadaniami i uruchamiania ich ze wstępnie zdefiniowaną konfiguracją i właściwościami. Konfiguracja i właściwości zawierają informacje, na przykład datę i godzinę, jak również określone profile używane podczas wykonywania zadania. 94 4.3.2 Tworzenie nowych zadań Aby utworzyć nowe zadanie w Harmonogramie, kliknij przycisk Dodaj lub kliknij prawym przyciskiem myszy i z menu kontekstowego wybierz opcję Dodaj . Dostępnych jest pięć typów zaplanowanych zadań: Uruchom aplikacj ę zewnętrzną Sprawdzanie plików wykonywanych przy uruchamianiu systemu Tworzenie zapisu bieżącego stanu komputera Skanowanie komputera na żądanie Aktualizacj a Ponieważ jednym z najczęściej używanych zadań planowanych jest Aktualizacj a, zostanie przedstawiony sposób dodawania nowego zadania aktualizacji. Z menu rozwijanego Zaplanowane zadanie wybierz opcję Aktualizacj a. Kliknij przycisk Dalej i wprowadź nazwę zadania w polu Nazwa zadania . Wybierz częstotliwość zadania. Dostępne są następujące opcje: Jednorazowo, Wielokrotnie, Codziennie, Cotygodniowo i Po wystąpieniu zdarzenia. Na podstawie wybranej częstotliwości wyświetlane są monity o różne parametry aktualizacji. Następnie zdefiniuj czynność podejmowaną w przypadku, gdy nie można wykonać lub zakończyć zadania w zaplanowanym czasie. Dostępne są następujące trzy opcje: Czekaj do następnego zaplanowanego terminu Uruchom zadanie j ak naj szybciej Uruchom zadanie natychmiast, j eśli od ostatniego wykonania upłynęło — okres można określić za pomocą pola przewijania „ponad (godziny)” W kolejnym kroku zostanie wyświetlone okno z podsumowaniem informacji dotyczących bieżącego zadania. Opcja Uruchom zadanie z określonymi parametrami powinna być automatycznie włączona. Kliknij przycisk Zakończ. Zostanie wyświetlone okno dialogowe umożliwiające wybranie profilów używanych z zaplanowanym zadaniem. W tym miejscu można określić profil główny i alternatywny, który będzie używany w przypadku braku możliwości wykonania zadania przy użyciu profilu głównego. Potwierdź zmiany, klikając przycisk OK w oknie Profile aktualizacj i. Nowe zaplanowane zadanie zostanie dodane do listy aktualnie zaplanowanych zadań. 95 4.4 Kwarantanna Głównym zadaniem kwarantanny jest bezpieczne przechowywanie zainfekowanych plików. Pliki należy poddawać kwarantannie w przypadku, gdy nie można ich wyleczyć, gdy ich usunięcie nie jest bezpieczne lub zalecane albo gdy są one nieprawidłowo wykrywane przez program ESET Mail Security. Kwarantanną można objąć dowolny plik. Takie działanie jest zalecane, jeśli plik zachowuje się w podejrzany sposób, ale nie jest wykrywany przez skaner antywirusowy. Pliki poddane kwarantannie można przesyłać do analizy w laboratorium firmy ESET. Pliki przechowywane w folderze kwarantanny mogą być wyświetlane w tabeli zawierającej datę i godzinę przeniesienia do kwarantanny, ścieżkę do pierwotnej lokalizacji zainfekowanego pliku, rozmiar pliku w bajtach, powód (dodane przez użytkownika) oraz liczbę zagrożeń (np. jeśli plik jest archiwum zawierającym wiele zagrożeń). 4.4.1 Poddawanie plików kwarantannie Program ESET Mail Security automatycznie poddaje kwarantannie usunięte pliki (jeśli nie anulowano tej opcji w oknie alertu). W razie potrzeby można ręcznie poddać kwarantannie dowolny podejrzany plik, klikając przycisk Kwarantanna W takim przypadku dany plik nie jest usuwany z pierwotnej lokalizacji. W tym celu można również skorzystać z menu kontekstowego, klikając prawym przyciskiem myszy w oknie Kwarantanna i wybierając opcję Dodaj . 96 4.4.2 Przywracanie plików z kwarantanny Pliki poddane kwarantannie można przywracać do ich pierwotnej lokalizacji. Służy do tego funkcja Przywróć, która jest dostępna w oknie Kwarantanna w menu kontekstowym po kliknięciu danego pliku prawym przyciskiem myszy. Menu kontekstowe zawiera także opcję Przywróć do umożliwiającą przywrócenie pliku do lokalizacji innej niż ta, z której został usunięty. UWAGA: jeśli w programie nastąpi pomyłkowe przeniesienie nieszkodliwego pliku do kwarantanny, należy po jego przywróceniu wyłączyć plik ze skanowania i wysłać go do działu obsługi klienta firmy ESET. 4.4.3 Przesyłanie pliku z kwarantanny Jeśli poddano kwarantannie podejrzany plik, który nie został wykryty przez program, lub jeśli plik został błędnie oceniony jako zainfekowany (np. w drodze analizy heurystycznej kodu) i następnie poddany kwarantannie, należy przesłać plik do laboratorium firmy ESET. Aby przesłać plik z kwarantanny, należy kliknąć go prawym przyciskiem myszy i z menu kontekstowego wybrać opcję Prześlij do analizy. 97 4.5 Pliki dziennika W dziennikach są przechowywane informacje o ważnych zdarzeniach, takich jak wykryte infekcje, dzienniki skanera rezydentnego i skanera na żądanie czy informacje o systemie. Dzienniki ochrony przed spamem oraz szarej listy (aby przejść do tych i innych dzienników, należy wybrać opcje Narzędzia > Pliki dziennika) zawierają szczegółowe informacje na temat wiadomości, które zostały zeskanowane, oraz wykonanych później czynności związanych z tymi wiadomościami. Dzienniki mogą być bardzo przydatne w przypadku szukania niedostarczonej wiadomości e-mail, sprawdzania, dlaczego wiadomość została oznaczona jako spam itp. 98 Ochrona przed spamem W tym miejscu są rejestrowane wszystkie wiadomości, które według programu ESET Mail Security są lub mogą być spamem. Opis kolumn: Czas — czas utworzeniu wpisu w dzienniku ochrony przed spamem. Nadawca — adres nadawcy. Odbiorca — adres odbiorcy. Temat — temat wiadomości. Wynik — przypisany do wiadomości wynik spamu (od 0 do 100). Powód — wskazuje przyczynę uznania wiadomości za spam. Wyświetlony wskaźnik ma największe znaczenie. Aby zobaczyć inne wskaźniki, kliknij dwukrotnie wpis. Zostanie wyświetlone okno Powód, w którym będą widoczne pozostałe wskaźniki w porządku malejącym według znaczenia. Adres URL j est znany z rozsyłania spamu Adresy URL dostępne w wiadomościach często ułatwiają klasyfikowanie ich jako spamu. Format HTML (czcionki, kolory itd.) Formatowanie elementów części wiadomości utworzonej formacie HTML może zawierać znaki charakterystyczne dla spamu (rodzaj i kolor czcionki itd.) Sztuczki spamowe: zaciemnianie kodu Słowa charakterystyczne dla spamu często są maskowane za pomocą innych znaków. Typowym przykładem jest słowo „Viagra” często zapisywane jako „V1agra” w celu pominięcia ochrony przed spamem. Spam wykorzystuj ący obrazy w kodzie Inną metodą unikania ochrony przed spamem jest wysyłanie HTML wiadomości spamu w postaci obrazów. Takie obrazy najczęściej zawierają interaktywne łącza do stron internetowych. Formatowanie adresu URL domeny hosta usługi Adres URL zawiera domenę hosta usługi. Spamowe słowo kluczowe Wiadomość zawiera słowa charakterystyczne dla spamu. Niespój ność nagłówków wiadomości e- Informacje w nagłówku są zmieniane tak, aby wskazywały nadawcę mail innego niż oryginalny. Wirus Wiadomość zawiera podejrzany załącznik. Phishing Wiadomość zawiera tekst charakterystyczny dla wiadomości używanych 99 do ataków typu „phishing”. Replika Wiadomość zawiera tekst charakterystyczny dla kategorii spamu, za pośrednictwem którego oferowane są podrabiane towary. Ogólny wskaźnik spamu Wiadomość zawiera słowa/znaki charakterystyczne dla spamu, na przykład „Dear friend” (Drogi przyjacielu), „hello winner” (Witaj, zwycięzco), „!!!” itp. Wskaźnik pseudo-spamu Ten wskaźnik ma funkcję odmienną od pozostałych wymienionych wskaźników. Analizuje on elementy typowe dla standardowych wiadomości niebędących spamem. Obniża on ogólny wynik spamu. Nieokreślony wskaźnik spamu Wiadomość zawiera inne elementy spamu, takie jak kodowanie base64. Niestandardowe frazy spamowe Inne wyrażenia typowe dla spamu. Adres URL znaj duj e się na czarnej liście Adres URL zawarty w wiadomości znajduje się na czarnej liście. Adres IP %s znaj duj e się na liście RBL Adres IP ... znajduje się na liście RBL. Adres URL %s znaj duj e się na liście DNSBL Adres URL ... znajduje się na liście DNSBL. Adres URL %s znaj duj e się na liście RBL Adres URL ... znajduje się na liście RBL lub serwer nie posiada uprawnień lub serwer nie posiada uprawnień do wymaganych do wysyłania wiadomości e-mail. Adresy będące częścią wysyłania poczty trasy wiadomości e-mail są sprawdzane na liście RBL. Ostatni adres jest też testowany pod kątem uprawnień do łączenia się z publicznymi serwerami poczty. Jeśli nie można wykryć ważnych uprawnień do łączenia się, adres znajduje się na liście LBL. Wiadomości oznaczone jako spam z powodu wskaźnika LBL zawierają w polu Powód następujący tekst: „serwer nie posiada uprawnień do wysyłania poczty”. Czynność — czynność wykonywana w odniesieniu do wiadomości. Możliwe czynności: Zachowano Nie wykonano żadnego działania w odniesieniu do wiadomości. Poddano kwarantannie Wiadomość została przeniesiona do kwarantanny. Wyleczono i poddano kwarantannie Wirus został usunięty z wiadomości, a wiadomość poddano kwarantannie. Odrzucono Wiadomość została odrzucona. Do nadawcy wysłano odpowiedź odmowną serwera SMTP 20 . Usunięto Wiadomość została usunięta w trybie cichym 20 . Odebrano — czas odebrania wiadomości przez serwer. UWAGA: Jeśli wiadomości są odbierane za pośrednictwem serwera poczty e-mail, godziny w polach Czas i Odebrano są niemal identyczne. 100 Szara lista W tym dzienniku rejestrowane są wszystkie wiadomości ocenione za pomocą szarej listy. Opis kolumn: Czas — czas utworzeniu wpisu w dzienniku ochrony przed spamem. Domena HELO — nazwa domeny, za pomocą której serwer nadawczy identyfikuje się podczas komunikacji z serwerem odbiorczym. Adres IP — adres IP nadawcy. Nadawca — adres nadawcy. Odbiorca — adres odbiorcy. Czynność — może zawierać informacje o następujących stanach: Odrzucono Wiadomość przychodząca została odrzucona za pomocą podstawowej zasady szarej listy (pierwsza próba dostarczenia). Odrzucono (nie zweryfikowano) Wiadomość przychodząca została ponownie dostarczona przez serwer nadawczy, ale limit czasu odrzucenia połączenia jeszcze nie upłynął (Limit czasu dla początkowego odrzucania połączeń). Zweryfikowano Wiadomość przychodząca została kilka razy dostarczona ponownie przez serwer nadawczy. Limit czasu dla początkowego odrzucania połączeń upłynął, a wiadomość została pomyślnie zweryfikowana i dostarczona. Zobacz też Agent transportu 39 . Czas do zakończenia — czas, po którym upłynie Limit czasu dla początkowego odrzucania połączeń. Wykryte zagrożenia Dziennik zagrożeń udostępnia szczegółowe informacje na temat infekcji wykrytych przez moduły programu ESET Mail Security. Podaje on między innymi: godzinę wykrycia, rodzaj skanera, rodzaj obiektu, nazwę obiektu, nazwę infekcji, lokalizację, wykonaną czynność oraz nazwę użytkownika zalogowanego w czasie wykrycia infekcji. Aby skopiować lub usunąć wiersze dziennika (bądź usunąć cały dziennik), należy skorzystać z menu kontekstowego (wystarczy kliknąć prawym przyciskiem myszy wybrany element). Zdarzenia Dziennik zdarzeń zawiera informacje na temat zdarzeń i błędów, które wystąpiły w programie. Często pomagają one znaleźć rozwiązanie problemów napotkanych podczas pracy z programem. 101 Skanowanie komputera na żądanie Dziennik skanera zawiera informacje na temat wyników ręcznych i zaplanowanych operacji skanowania. Każdy wiersz odpowiada jednej operacji skanowania. Podawane są następujące informacje: data i godzina skanowania, łączna liczba przeskanowanych, zarażonych i zdrowych plików oraz bieżący stan skanowania. Dwukrotne kliknięcie wybranego wpisu dziennika w obszarze Skanowanie komputera na żądanie powoduje wyświetlenie szczegółowych informacji na jego temat w osobnym oknie. Zaznaczone wpisy (z dowolnego dziennika) można skopiować za pomocą menu kontekstowego (dostępnego po kliknięciu prawym przyciskiem myszy). 4.5.1 Filtrowanie dziennika Filtrowanie dziennika to użyteczna funkcja, która ułatwia wyszukiwanie rekordów w plikach dziennika, zwłaszcza gdy liczba rekordów jest na tyle duża, że trudno jest znaleźć potrzebne informacje szczegółowe. Jako kryteria można wpisać ciąg znaków do odfiltrowania (pole Co), wskazać kolumny do przeszukiwania (Szukaj w kolumnach), wybrać Typy rekordów i zaznaczyć Okres w celu ograniczenia liczby rekordów. Po skonfigurowaniu określonych opcji filtrowania w oknie Pliki dziennika widoczne będą tylko rekordy spełniające kryteria, co zapewnia łatwy i szybki dostęp do poszukiwanych informacji. Aby otworzyć okno Filtrowanie dziennika, należy kliknąć przycisk Filtr... w obszarze Narzędzia > Pliki dziennika lub użyć skrótu klawiszowego Ctrl+Shift+F. UWAGA: W celu wyszukania określonego rekordu można zamiast filtrowania dziennika lub w połączeniu z nim skorzystać z funkcji Znajdź w dzienniku 103 . Po skonfigurowaniu określonych opcji filtrowania w oknie Pliki dziennika będą widoczne tylko rekordy spełniające kryteria filtra. Pozwoli to na odfiltrowanie rekordów/ograniczenie ich liczby i ułatwi znalezienie poszukiwanych informacji. Im bardziej szczegółowe ustawienia filtra, tym ściślejsze wyniki. Co: Należy tu wpisać ciąg znaków (wyraz lub część wyrazu). Zostaną wyświetlone tylko rekordy zawierające dany ciąg. Dla lepszej czytelności pozostałe rekordy będą niewidoczne. Szukaj w kolumnach: Należy wybrać kolumny, które mają być brane pod uwagę podczas filtrowania. Na potrzeby filtrowania można zaznaczyć jedną lub więcej kolumn. Domyślnie zaznaczone są wszystkie kolumny: Godzina Moduł Zdarzenie Użytkownik 102 Typy rekordów: Umożliwia wybór typu rekordów do wyświetlenia. Można wskazać jeden określony typ rekordu, wiele typów naraz lub wszystkie widoczne typy rekordów (domyślnie): Diagnostyka Informacj a Ostrzeżenie Błąd Krytyczne Okres: Ta opcja służy do filtrowania rekordów według okresu. Można wybrać jedno z następujących ustawień: Cały dziennik (domyślnie) — filtrowanie według okresu jest wyłączone i wyświetlany jest cały dziennik. Ostatni dzień Ostatni tydzień Ostatni miesiąc Odstęp czasu — można określić dokładny okres (daty i godziny), aby wyświetlać tylko rekordy zarejestrowane w tym czasie. Oprócz powyższych ustawień filtrowania dostępne są następujące opcje: Tylko całe wyrazy — wyświetlanie tylko rekordów, które odpowiadają z dokładnością do całych wyrazów ciągowi wprowadzonemu w polu tekstowym Co. Uwzględniaj wielkość liter — wyświetlanie tylko rekordów, które odpowiadają z dokładnością do wielkości liter ciągowi wprowadzonemu w polu tekstowym Co. Włącz inteligentne filtrowanie — po włączeniu tej opcji program ESET Mail Security przeprowadza filtrowanie z użyciem własnych metod. Po skonfigurowaniu opcji filtrowania należy kliknąć przycisk OK, aby zastosować filtr. W oknie Pliki dziennika będą widoczne tylko rekordy odpowiadające wybranym kryteriom. 4.5.2 Znaj dowanie w dzienniku Uzupełnieniem opcji filtrowania dziennika 102 jest funkcja wyszukiwania w plikach dziennika, z której można też korzystać niezależnie od filtrowania. Jest ona przydatna w razie potrzeby znalezienia określonych rekordów w dziennikach. Analogicznie do filtrowania, wyszukiwanie ułatwia dotarcie do potrzebnych informacji, zwłaszcza gdy zarejestrowanych jest zbyt wiele rekordów. Przy korzystaniu z funkcji Znajdź w dzienniku można wpisać ciąg znaków do znalezienia (Co), wskazać kolumny do przeszukiwania (Szukaj w kolumnach), wybrać Typy rekordów i zaznaczyć Okres, aby przeszukiwać tylko rekordy zarejestrowane w danym przedziale czasu. Po skonfigurowaniu określonych opcji wyszukiwania w oknie Pliki dziennika będą widoczne tylko odpowiadające im rekordy. W celu wyszukiwania w dziennikach należy otworzyć okno Znaj dź w dzienniku, naciskając kombinację klawiszy Ctrl+F. UWAGA: Funkcji Znajdź w dzienniku można używać w połączeniu z filtrowaniem dziennika 102 . Na początek można ograniczyć liczbę rekordów za pomocą filtrowania, a następnie rozpocząć wyszukiwanie w odfiltrowanych rekordach. 103 Co: Należy tu wpisać ciąg znaków (wyraz lub część wyrazu). Zostaną znalezione tylko rekordy zawierające dany ciąg. Pozostałe rekordy zostaną pominięte. Szukaj w kolumnach: Należy wybrać kolumny, które mają być brane pod uwagę podczas wyszukiwania. Na potrzeby wyszukiwania można zaznaczyć jedną lub więcej kolumn. Domyślnie zaznaczone są wszystkie kolumny: Godzina Moduł Zdarzenie Użytkownik Typy rekordów: Umożliwia wybór typu rekordów, które mają być wyszukiwane. Można wskazać jeden określony typ rekordu, wiele typów naraz lub wszystkie typy rekordów (domyślnie): Diagnostyka Informacj a Ostrzeżenie Błąd Krytyczne Okres: Ta opcja umożliwia zawężenie wyszukiwania do rekordów z danego czasu. Można wybrać jedno z następujących ustawień: Cały dziennik (domyślnie) — kryterium okresu jest wyłączone i przeszukiwany jest cały dziennik. Ostatni dzień Ostatni tydzień Ostatni miesiąc Odstęp czasu — można określić dokładny okres (daty i godziny), aby przeprowadzić wyszukiwanie tylko w rekordach zarejestrowanych w tym czasie. Oprócz powyższych ustawień wyszukiwania dostępne są następujące opcje: Tylko całe wyrazy — wyszukiwane są tylko rekordy, które odpowiadają z dokładnością do całych wyrazów ciągowi wprowadzonemu w polu tekstowym Co. Uwzględniaj wielkość liter — wyszukiwane są tylko rekordy, które odpowiadają z dokładnością do wielkości liter ciągowi wprowadzonemu w polu tekstowym Co. Szukaj w górę — umożliwia wyszukiwanie od bieżącej pozycji w górę. Po skonfigurowaniu opcji wyszukiwania należy kliknąć przycisk Znaj dź, aby rozpocząć przeszukiwanie. Wyszukiwanie zostaje zatrzymane po znalezieniu pierwszego rekordu spełniającego kryteria. Ponowne kliknięcie przycisku Znaj dź powoduje kontynuację wyszukiwania. Pliki dziennika są przeszukiwane od góry do dołu, począwszy do bieżącej pozycji (od zaznaczonego rekordu). 104 4.5.3 Administracj a dziennikami Dostęp do konfiguracji dzienników programu ESET Mail Security można uzyskać z poziomu okna głównego programu. W tym celu należy kliknąć kolejno opcje Ustawienia > Otwórz całe drzewo ustawień zaawansowanych > Narzędzia > Pliki dziennika. Można określić następujące opcje plików dziennika: Usuwaj automatycznie rekordy: wpisy dziennika starsze niż podana liczba dni będą automatycznie usuwane. Automatycznie optymalizuj pliki dzienników: umożliwia automatyczną defragmentację plików dziennika w przypadku przekroczenia określonego procentu nieużywanych rekordów. Minimalna szczegółowość zapisów w dzienniku: umożliwia określenie poziomu szczegółowości zapisów w dzienniku. Dostępne ustawienia: - Rekordy diagnostyczne — powoduje rejestrowanie w dzienniku informacji niezbędnych do ulepszenia konfiguracji programu i wszystkich rekordów powyżej. - Rekordy informacyj ne — powoduje rejestrowanie wszystkich komunikatów informacyjnych, w tym powiadomień o pomyślnych aktualizacjach, oraz wszystkich rekordów powyżej. - Ostrzeżenia — powoduje rejestrowanie w dzienniku wszystkich błędów krytycznych oraz komunikatów ostrzegawczych. - Błędy — powoduje rejestrowanie tylko komunikatów o błędach „Błąd pobierania pliku” oraz błędów krytycznych. - Ostrzeżenia krytyczne — powoduje rejestrowanie tylko błędów krytycznych (np. błąd uruchomienia ochrony antywirusowej itp.). 105 4.6 ESET SysInspector 4.6.1 Wprowadzenie do programu ESET SysInspector Program ESET SysInspector jest aplikacją, która dokładnie sprawdza stan komputera i wyświetla zgromadzone dane w kompleksowy sposób. Informacje o zainstalowanych sterownikach i aplikacjach, połączeniach sieciowych lub ważnych wpisach w rejestrze ułatwiają śledzenie podejrzanego zachowania systemu, które może wynikać z niezgodności programowej lub sprzętowej bądź zainfekowania szkodliwym oprogramowaniem. Dostęp do programu ESET SysInspector można uzyskać na dwa sposoby: Korzystając z wersji zintegrowanej w programie ESET Security albo bezpłatnie pobierając wersję autonomiczną (SysInspector.exe) z witryny internetowej firmy ESET. Obie wersje mają identyczne funkcje i te same elementy sterujące programu. Jedyna różnica to sposób zarządzania danymi wyjściowymi. Zarówno wersja autonomiczna, jak i zintegrowana umożliwia wyeksportowanie migawek systemu do pliku xml i zapisanie ich na dysku. Wersja zintegrowana umożliwia ponadto zapisywanie migawek systemu bezpośrednio w sekcji Narzędzia > ESET SysInspector (z wyjątkiem programu ESET Remote Administrator). Więcej informacji można znaleźć w sekcji ESET SysInspector jako część produktu ESET Mail Security 117 . Skanowanie komputera przy użyciu programu ESET SysInspector wymaga nieco czasu. Może to potrwać od 10 sekund do kilku minut w zależności od konfiguracji sprzętowej, systemu operacyjnego i liczby aplikacji zainstalowanych na komputerze. 4.6.1.1 Uruchamianie programu ESET SysInspector Aby uruchomić program ESET SysInspector, wystarczy uruchomić plik wykonywalny SysInspector.exe pobrany z witryny firmy ESET. Jeśli jest już zainstalowany jeden z produktów ESET Security, program ESET SysInspector można uruchomić bezpośrednio z menu Start (Programy > ESET > ESET Mail Security). Po włączeniu aplikacji zostanie wykonana inspekcja systemu, która w zależności od sprzętu i zbieranych danych może potrwać kilka minut. 106 4.6.2 Interfej s użytkownika i używanie aplikacj i W celu zachowania przejrzystości okno główne zostało podzielone na cztery podstawowe sekcje — Formanty programu (u góry), okno nawigacji (z lewej strony), okno opisu (z prawej strony pośrodku) oraz okno szczegółów (z prawej strony u dołu). W sekcji Stan dziennika są wyświetlane podstawowe parametry dziennika (stosowany filtr, typ filtru, utworzenie dziennika w wyniku porównania itp.). 4.6.2.1 Sterowanie programem W tej części opisano wszystkie elementy sterujące dostępne w programie ESET SysInspector. Plik Klikając pozycję Plik, można zapisać bieżący stan systemu w celu zbadania go w późniejszym terminie albo otworzyć zapisany wcześniej dziennik. Jeśli użytkownik chce opublikować dziennik, zaleca się jego wygenerowanie przy użyciu opcji Przeznaczony do wysłania. W tej formie w dzienniku są pomijane informacje poufne (nazwa bieżącego użytkownika, nazwa komputera, nazwa domeny, uprawnienia bieżącego użytkownika, zmienne środowiskowe itp.). UWAGA: Zapisane wcześniej raporty programu ESET SysInspector można otwierać, przeciągając je i upuszczając w głównym oknie programu. Drzewo Umożliwia rozwijanie i zwijanie wszystkich węzłów oraz eksportowanie wybranych sekcji do skryptu usługi. Lista Zawiera funkcje ułatwiające nawigację w obrębie programu oraz wykonywanie innych czynności, na przykład wyszukiwanie informacji w trybie online. Pomoc Zawiera informacje dotyczące aplikacji i jej funkcji. 107 Szczegóły To ustawienie wpływa na kształt informacji wyświetlanych w oknie głównym i ułatwia pracę z tymi danymi. W trybie „Podstawowe” użytkownik ma dostęp do informacji umożliwiających wyszukiwanie rozwiązań typowych problemów z systemem. W trybie „Średnie” program wyświetla rzadziej używane informacje. W trybie „Pełne” program ESET SysInspector wyświetla wszystkie informacje potrzebne do rozwiązywania konkretnych problemów. Filtrowanie elementów Filtrowanie elementów wykorzystuje się najczęściej do wyszukiwania podejrzanych plików lub wpisów rejestru w systemie. Korygując ustawienie suwaka, można filtrować elementy według ich poziomu ryzyka. Jeśli suwak znajdzie się w skrajnym lewym położeniu (poziom ryzyka 1), zostaną wyświetlone wszystkie elementy. Przesunięcie suwaka w prawo spowoduje, że program odfiltruje wszystkie elementy o poziomie ryzyka niższym niż bieżący, wyświetlając tylko te elementy, które są bardziej podejrzane, niż wynika to z wybranego poziomu. W przypadku ustawienia suwaka w skrajnym prawym położeniu są wyświetlane tylko elementy znane jako szkodliwe. Wszystkie elementy o poziomie ryzyka od 6 do 9 mogą stanowić zagrożenie bezpieczeństwa. Jeśli użytkownik nie korzysta z oprogramowania zabezpieczającego firmy ESET, zalecane jest przeskanowanie systemu przy użyciu narzędzia ESET Online Scanner w przypadku wykrycia takich elementów przez program ESET SysInspector. Usługa ESET Online Scanner jest bezpłatna. UWAGA: Poziom ryzyka elementu można łatwo ustalić, porównując jego kolor z kolorem na suwaku Poziom ryzyka. Szukaj Korzystając z funkcji wyszukiwania, można szybko znaleźć określony element, podając jego nazwę lub część nazwy. Wyniki wyszukiwania są wyświetlane w oknie opisu. Powrót Klikając strzałki Wstecz i Dalej, można powrócić do informacji poprzednio wyświetlanych w oknie opisu. Zamiast klikać przyciski Wstecz lub Dalej, można używać klawisza Backspace i klawisza spacji. Sekcj a stanu W tej sekcji jest wyświetlany bieżący węzeł w oknie nawigacji. Ważne: Elementy wyróżnione kolorem czerwonym są nieznane, dlatego oznaczono je jako potencjalnie niebezpieczne. Wystąpienie elementu zaznaczonego kolorem czerwonym nie oznacza automatycznie, że można usunąć plik. Przed usunięciem należy upewnić się, że pliki są faktycznie niebezpieczne lub niepotrzebne. 4.6.2.2 Nawigacj a w programie ESET SysInspector W programie ESET SysInspector różne rodzaje informacji są podzielone na kilka podstawowych sekcji, określanych mianem węzłów. Niekiedy dodatkowe szczegóły można znaleźć po rozwinięciu węzła w jego podwęzły. Aby otworzyć lub zwinąć węzeł, należy kliknąć dwukrotnie jego nazwę albo kliknąć symbol lub znajdujący się obok nazwy. Przeglądając strukturę drzewa węzłów i podwęzłów w oknie nawigacji, można wyświetlać okna opisu zawierające różne informacje szczegółowe dotyczące każdego węzła. Podczas przeglądania elementów w oknie opisu można uzyskać dostęp do dodatkowych informacji szczegółowych dotyczących poszczególnych elementów w oknie szczegółów. Poniżej znajdują się opisy głównych węzłów w oknie nawigacji, wraz z powiązanymi informacjami z okien opisu i szczegółów. Uruchomione procesy Ten węzeł zawiera informacje o aplikacjach i procesach uruchomionych w chwili generowania raportu. W oknie opisu można znaleźć dodatkowe informacje szczegółowe dotyczące poszczególnych procesów, takie jak biblioteki dynamiczne używane przez dany proces i ich lokalizacja w systemie, nazwa dostawcy aplikacji, poziom ryzyka przypisany do danego pliku itd. W oknie szczegółów są wyświetlane dodatkowe informacje dotyczące elementów zaznaczonych w oknie opisu, takie jak rozmiar pliku czy jego skrót. UWAGA: W skład systemu operacyjnego wchodzi wiele ważnych komponentów jądra, które działają cały czas oraz zapewniają podstawowe i istotne funkcje dla innych aplikacji użytkownika. W niektórych przypadkach takie 108 procesy są wyświetlane w narzędziu ESET SysInspector ze ścieżką rozpoczynającą się od ciągu \??\. Te symbole zapewniają optymalizację tych procesów przed ich uruchomieniem i są bezpieczne dla systemu. Połączenia sieciowe Okno opisu zawiera listę procesów i aplikacji komunikujących się w sieci przy użyciu protokołu wybranego w oknie nawigacji (TCP lub UDP) oraz adres zdalny, z którym jest połączona dana aplikacja. Można również sprawdzić adresy IP serwerów DNS. W oknie szczegółów są wyświetlane dodatkowe informacje dotyczące elementów zaznaczonych w oknie opisu, takie jak rozmiar pliku czy jego skrót. Ważne wpisy w rej estrze Zawiera listę wybranych wpisów rejestru, które są często związane z różnymi problemami z systemem, na przykład wpisy określające programy uruchamiane wraz z systemem, obiekty pomocnika przeglądarki (BHO) itd. W oknie opisu można sprawdzić, które pliki są powiązane z określonymi wpisami w rejestrze. W oknie szczegółów znajdują się dodatkowe informacje. Usługi Okno opisu zawiera listę plików zarejestrowanych jako usługi systemu Windows. W oknie szczegółów można sprawdzić ustawiony sposób uruchamiania danej usługi, jak również przejrzeć informacje szczegółowe dotyczące pliku. Sterowniki Lista sterowników zainstalowanych w systemie. Pliki krytyczne W oknie opisu jest wyświetlana zawartość plików krytycznych związanych z systemem operacyjnym Microsoft Windows. Zadania harmonogramu systemu Zawiera listę zadań uruchamianych przez Harmonogram zadań systemu Windows o określonej godzinie lub co określony czas. Informacj e o systemie Zawiera szczegółowe informacje o sprzęcie i oprogramowaniu, ustawionych zmiennych środowiskowych, prawach użytkowników i systemowych dziennikach zdarzeń. Szczegóły pliku Lista ważnych plików systemowych i plików w folderze Program Files. Dodatkowe informacje dotyczące poszczególnych plików można znaleźć w oknach opisu i szczegółów. Informacj e Informacje o wersji programu ESET SysInspector i lista modułów programu. 4.6.2.2.1 Skróty klawiaturowe Podczas pracy z programem ESET SysInspector można korzystać z następujących skrótów klawiaturowych: Plik Ctrl+O Ctrl+S otwarcie istniejącego dziennika zapisanie utworzonych dzienników Generuj Ctrl+G Ctrl+H wygenerowanie standardowego zapisu bieżącego stanu komputera wygenerowanie zapisu bieżącego stanu komputera, w którym mogą się też znaleźć informacje poufne 109 Filtrowanie elementów 1, O 2 3 4, U 5 6 7, B 8 9 + Ctrl+9 Ctrl+0 Czysty (wyświetlane są elementy o poziomie ryzyka 1–9) Czysty (wyświetlane są elementy o poziomie ryzyka 2–9) Czysty (wyświetlane są elementy o poziomie ryzyka 3–9) Nieznany (wyświetlane są elementy o poziomie ryzyka 4–9) Nieznany (wyświetlane są elementy o poziomie ryzyka 5–9) Nieznany (wyświetlane są elementy o poziomie ryzyka 6–9) Ryzykowny (wyświetlane są elementy o poziomie ryzyka 7–9) Ryzykowny (wyświetlane są elementy o poziomie ryzyka 8–9) Ryzykowny (wyświetlane są elementy o poziomie ryzyka 9) obniżenie poziomu ryzyka podwyższenie poziomu ryzyka tryb filtrowania, poziom jednakowy lub wyższy tryb filtrowania, tylko jednakowy poziom Widok Ctrl+5 Ctrl+6 Ctrl+7 Ctrl+3 Ctrl+2 Ctrl+1 BackSpace Spacja Ctrl+W Ctrl+Q widok wg dostawcy, wszyscy dostawcy widok wg dostawcy, tylko Microsoft widok wg dostawcy, wszyscy pozostali dostawcy wyświetlenie szczegółów w trybie Pełne wyświetlenie szczegółów w trybie Średnie tryb Podstawowy przejście o krok wstecz przejście o krok w przód rozwinięcie drzewa zwinięcie drzewa Inne formanty Ctrl+T Ctrl+P Ctrl+A Ctrl+C Ctrl+X Ctrl+B Ctrl+L Ctrl+R Ctrl+Z Ctrl+F Ctrl+D Ctrl+E przejście do pierwotnej lokalizacji elementu po wybraniu go spośród wyników wyszukiwania wyświetlenie podstawowych informacji o elemencie wyświetlenie pełnych informacji o elemencie skopiowanie drzewa bieżącego elementu skopiowanie elementów wyszukanie informacji o wybranych plikach w Internecie otwarcie folderu zawierającego wybrany plik otwarcie odpowiedniego wpisu w edytorze rejestru skopiowanie ścieżki do pliku (jeśli element jest powiązany z plikiem) przełączenie do pola wyszukiwania zamknięcie wyników wyszukiwania uruchomienie skryptu usługi Porównywanie Ctrl+Alt+O Ctrl+Alt+R Ctrl+Alt+1 Ctrl+Alt+2 Ctrl+Alt+3 Ctrl+Alt+4 Ctrl+Alt+5 Ctrl+Alt+C Ctrl+Alt+N Ctrl+Alt+P otwarcie dziennika oryginalnego/porównawczego anulowanie porównania wyświetlenie wszystkich wpisów wyświetlenie tylko dodanych wpisów, w dzienniku zostaną wyświetlone wpisy występujące w bieżącym dzienniku wyświetlenie tylko usuniętych wpisów, w dzienniku zostaną wyświetlone wpisy występujące w poprzednim dzienniku wyświetlenie tylko zastąpionych wpisów (z uwzględnieniem plików) wyświetlenie tylko różnic między dziennikami wyświetlenie porównania wyświetlenie bieżącego dziennika otwarcie poprzedniego dziennika Inne F1 Alt+F4 Alt+Shift+F4 110 wyświetlenie pomocy zamknięcie programu zamknięcie programu bez wcześniejszego monitu Ctrl+I statystyki dziennika 4.6.2.3 Funkcj a Porównaj Funkcja Porównaj umożliwia porównywanie dwóch istniejących dzienników. W wyniku działania tej funkcji powstaje zestaw wpisów różniących się między dziennikami. Porównywanie może być przydatne, gdy użytkownik chce śledzić zmiany w systemie. Dzięki temu można na przykład wykryć działanie złośliwego kodu. Po uruchomieniu tej funkcji jest tworzony nowy dziennik wyświetlany w nowym oknie. Aby zapisać dziennik w pliku, należy kliknąć kolejno opcje Plik > Zapisz dziennik. Pliki dzienników można otwierać i przeglądać w dowolnym momencie. Aby otworzyć istniejący dziennik, należy kliknąć kolejno opcje Plik > Otwórz dziennik. W głównym oknie programu ESET SysInspector zawsze jest wyświetlany tylko jeden dziennik naraz. Porównanie dwóch dzienników umożliwia wyświetlenie bieżącego aktywnego dziennika oraz dziennika zapisanego w pliku. Aby porównać dzienniki, należy użyć polecenia Plik > Porównaj dziennik i wybrać opcję Wybierz plik. Wybrany dziennik zostanie porównany z dziennikiem aktywnym w głównym oknie programu. W dzienniku porównawczym zostaną wyświetlone tylko różnice między tymi dwoma dziennikami. UWAGA: W przypadku porównywania dwóch plików dziennika należy kliknąć kolejno opcje Plik > Zapisz dziennik i zapisać dane w pliku ZIP. Zapisane zostaną oba pliki. Otwarcie takiego pliku w późniejszym terminie powoduje automatyczne wyświetlenie porównania zawartych w nim dzienników. Obok wyświetlonych elementów w programie ESET SysInspector widoczne są symbole określające różnice między porównywanymi dziennikami. Wpisy oznaczone symbolem można znaleźć jedynie w aktywnym dzienniku (nie występują w otwartym dzienniku porównawczym). Wpisy oznaczone symbolem znajdują się tylko w otwartym dzienniku i nie występują w aktywnym dzienniku. Opis wszystkich symboli wyświetlanych obok wpisów: Nowa wartość, nieobecna w poprzednim dzienniku. Sekcja struktury drzewa zawiera nowe wartości. Wartość usunięta, obecna jedynie w poprzednim dzienniku. Sekcja struktury drzewa zawiera usunięte wartości. Zmodyfikowano wartość/plik. Sekcja struktury drzewa zawiera zmodyfikowane wartości/pliki. Poziom ryzyka zmniejszył się / był wyższy w poprzednim dzienniku. Poziom ryzyka się zwiększył/był niższy w poprzednim dzienniku. W sekcji wyjaśnień (wyświetlanej w lewym dolnym rogu) znajduje się opis wszystkich symboli wraz z nazwami porównywanych dzienników. Dziennik porównawczy można zapisać do pliku i otworzyć w późniejszym terminie. Przykład Wygenerowano dziennik zawierający pierwotne informacje o systemie i zapisano go w pliku o nazwie poprzedni. xml. Po wprowadzeniu zmian w systemie otwarto program ESET SysInspector w celu wygenerowania nowego dziennika. Zapisano go w pliku biezacy.xml. Aby prześledzić zmiany, które zaszły między tymi dwoma dziennikami, należy kliknąć kolejno opcje Plik > Porównaj dzienniki. Program utworzy dziennik porównawczy zawierający różnice między dziennikami. Ten sam rezultat można osiągnąć za pomocą następującej opcji wiersza poleceń: SysInspector.exe biezacy.xml poprzedni.xml 111 4.6.3 Parametry wiersza polecenia Program ESET SysInspector obsługuje generowanie raportów przy użyciu wiersza polecenia z zastosowaniem następujących parametrów: /gen /privacy /zip /silent /help, /? powoduje wygenerowanie dziennika bezpośrednio z wiersza polecenia bez uruchamiania graficznego interfejsu użytkownika. powoduje wygenerowanie dziennika z wyłączeniem informacji poufnych. powoduje zapisanie wynikowego dziennika bezpośrednio na dysku w pliku skompresowanym. powoduje wyłączenie wyświetlania paska postępu obrazującego tworzenie dziennika. powoduje wyświetlenie informacji dotyczących parametrów wiersza polecenia. Przykłady Aby załadować określony dziennik bezpośrednio do przeglądarki, należy użyć polecenia: SysInspector.exe "c:\clientlog. xml" Aby wygenerować dziennik w aktualnej lokalizacji, należy użyć polecenia: SysInspector.exe /gen Aby wygenerować dziennik w określonym folderze, należy użyć polecenia: SysInspector.exe /gen="c:\folder\" Aby wygenerować dziennik w określonym pliku lub określonej lokalizacji, należy użyć polecenia: SysInspector.exe / gen="c:\folder\nowydziennik.xml" Aby wygenerować dziennik z wyłączeniem informacji poufnych bezpośrednio w pliku skompresowanym, należy użyć polecenia: SysInspector.exe /gen="c:\nowydziennik.zip" /privacy /zip Aby porównać dwa dzienniki, należy użyć polecenia: SysInspector.exe "biezacy.xml" "pierwotny.xml" UWAGA: Jeśli nazwa pliku/folderu zawiera spację, nazwę należy ująć w cudzysłów. 4.6.4 Skrypt usługi Skrypt usługi to przydatne narzędzie przeznaczone dla użytkowników programu ESET SysInspector, które umożliwia łatwe usuwanie niepożądanych obiektów z systemu. Za pomocą skryptu usługi użytkownik może wyeksportować cały dziennik programu ESET SysInspector lub jego część. Po wyeksportowaniu można oznaczyć niepożądane obiekty do usunięcia. Następnie można uruchomić zmodyfikowany dziennik, aby usunąć oznaczone obiekty. Skrypt usługi jest przeznaczony dla zaawansowanych użytkowników mających doświadczenie w diagnozowaniu problemów z systemem. Nieodpowiednie modyfikacje mogą prowadzić do uszkodzenia systemu operacyjnego. Przykład Jeśli użytkownik podejrzewa, że komputer został zainfekowany wirusem, który nie jest wykrywany przez posiadany program antywirusowy, należy wykonać instrukcje przedstawione poniżej: Uruchom program ESET SysInspector, aby wygenerować nową migawkę systemu. Zaznacz pierwszy element w lewej sekcji (w strukturze drzewa), naciśnij klawisz Ctrl i zaznacz ostatni element, co spowoduje zaznaczenie wszystkich elementów. Kliknij prawym przyciskiem myszy wybrane obiekty i wybierz z menu kontekstowego opcję Eksportuj wybrane sekcj e do skryptu usługi. Zaznaczone obiekty zostaną wyeksportowane do nowego dziennika. Najważniejszy krok w całej procedurze: otwórz nowy dziennik i zmień atrybut - na + dla wszystkich obiektów, które chcesz usunąć. Należy się upewnić, że nie oznaczono żadnych ważnych plików lub obiektów systemu operacyjnego. Otwórz program ESET SysInspector, kliknij opcje Plik > Uruchom skrypt usługi i wprowadź ścieżkę do skryptu. Kliknij przycisk OK, aby uruchomić skrypt. 112 4.6.4.1 Tworzenie skryptu usługi Aby wygenerować skrypt, kliknij prawym przyciskiem myszy dowolny element drzewa menu w lewym okienku głównego okna programu ESET SysInspector. Z menu kontekstowego wybierz opcję Eksportuj wszystkie sekcj e do skryptu usługi lub Eksportuj wybrane sekcj e do skryptu usługi. UWAGA: Nie jest możliwe wyeksportowanie skryptu usługi, gdy są porównywane dwa dzienniki. 4.6.4.2 Struktura skryptu usługi Pierwszy wiersz nagłówka skryptu zawiera informację o wersji aparatu (ev), wersji interfejsu GUI (gv) i wersji dziennika (lv). Na podstawie tych danych można śledzić zmiany w pliku xml używanym do wygenerowania skryptu, aby zapobiec ewentualnym niespójnościom podczas wykonywania. Tej części skryptu nie należy zmieniać. Pozostała część pliku jest podzielona na sekcje zawierające pozycje dostępne do edycji. Modyfikowanie pliku polega na wskazaniu elementów, które mają być przetwarzane przez skrypt. Oznaczenie wybranego elementu do przetwarzania wymaga zastąpienia poprzedzającego go znaku „-” znakiem „+”. Kolejne sekcje skryptu są oddzielane pustymi wierszami. Każda sekcja ma numer i tytuł. 01) Running processes (Uruchomione procesy) Ta sekcja zawiera listę wszystkich procesów uruchomionych w systemie. Każdy proces jest identyfikowany przez ścieżkę UNC, po której następuje odpowiadający mu skrót CRC16 ujęty w znaki gwiazdki (*). Przykład: 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...] W tym przykładzie proces module32.exe został wybrany (oznaczony znakiem „+”), co spowoduje jego zakończenie po wykonaniu skryptu. 02) Loaded modules (Załadowane moduły) Ta sekcja zawiera listę aktualnie używanych modułów systemowych. Przykład: 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...] W tym przykładzie moduł khbekhb.dll został oznaczony znakiem „+”. Po uruchomieniu skryptu procesy korzystające z tego modułu zostaną wykryte i zakończone. 03) TCP connections (Połączenia TCP) Ta sekcja zawiera informacje o istniejących połączeniach TCP. Przykład: 03) TCP connections: - Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe - Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006, - Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...] Po uruchomieniu skryptu zlokalizowani zostaną właściciele gniazd odpowiadających zaznaczonym połączeniom TCP i gniazda te zostaną zamknięte, zwalniając tym samym zasoby systemowe. 04) UDP endpoints (Punkty końcowe UDP) Ta sekcja zawiera informacje o istniejących punktach końcowych UDP. 113 Przykład: 04) UDP endpoints: - 0.0.0.0, port 123 (ntp) + 0.0.0.0, port 3702 - 0.0.0.0, port 4500 (ipsec-msft) - 0.0.0.0, port 500 (isakmp) [...] Po uruchomieniu skryptu zlokalizowani zostaną właściciele gniazd odpowiadających zaznaczonym punktom końcowym UDP i gniazda te zostaną zamknięte. 05) DNS server entries (Wpisy serwera DNS) Ta sekcja zawiera informacje o aktualnej konfiguracji serwera DNS. Przykład: 05) DNS server entries: + 204.74.105.85 - 172.16.152.2 [...] Po uruchomieniu skryptu zaznaczone wpisy serwera DNS zostaną usunięte. 06) Important registry entries (Ważne wpisy w rej estrze) Ta sekcja zawiera informacje o ważnych wpisach w rejestrze. Przykład: 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = http://thatcrack.com/ [...] Po uruchomieniu skryptu zaznaczone wpisy zostaną usunięte, nadpisane bajtami zerowymi lub przywrócone do wartości domyślnych. Działanie podejmowane dla danego wpisu rejestru zależy od jego kategorii i odpowiadającej mu wartości klucza. 07) Services (Usługi) Ta sekcja zawiera listę usług zarejestrowanych w systemie. Przykład: 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...] Po wykonaniu skryptu zaznaczone usługi wraz z usługami od nich zależnymi zostaną zatrzymane i odinstalowane. 08) Drivers (Sterowniki) Ta sekcja zawiera listę zainstalowanych sterowników. Przykład: 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32 \drivers\adihdaud.sys, state: Running, startup: Manual [...] Uruchomienie skryptu spowoduje przerwanie działania wybranych sterowników. Należy pamiętać, że niektóre sterowniki nie umożliwiają przerywania ich pracy. 114 09) Critical files (Pliki krytyczne) Ta sekcja zawiera informacje o plikach krytycznych dla działania systemu operacyjnego. Przykład: 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts - 127.0.0.1 localhost - ::1 localhost [...] Zaznaczone elementy zostaną usunięte albo zostaną im przywrócone wartości domyślne. 4.6.4.3 Wykonywanie skryptów usługi Oznacz wszystkie żądane pozycje, a następnie zapisz i zamknij skrypt. Uruchom zmodyfikowany skrypt bezpośrednio z okna głównego programu ESET SysInspector, wybierając z menu Plik opcję Uruchom skrypt usługi. Po otwarciu skryptu w programie zostanie wyświetlone okno z następującym komunikatem: Czy na pewno uruchomić skrypt usługi „%Nazwa_skryptu%”? Po potwierdzeniu może się pojawić kolejne ostrzeżenie z informacją, że uruchamiany skrypt usługi nie został podpisany. Kliknij przycisk Uruchom, aby uruchomić skrypt. Pomyślne wykonanie skryptu zostanie zasygnalizowane w oknie dialogowym. Jeśli skrypt udało się przetworzyć tylko częściowo, zostanie wyświetlone okno dialogowe z następującym komunikatem: Skrypt usługi został częściowo uruchomiony. Czy wyświetlić raport o błędach? Kliknij przycisk Tak, aby wyświetlić szczegółowy raport o błędach zawierający listę niewykonanych operacji. Jeśli skrypt nie został rozpoznany, zostanie wyświetlone okno dialogowe z następującym komunikatem: Wybrany skrypt usługi nie j est podpisany. Uruchamianie niepodpisanych i nieznanych skryptów może poważnie zaszkodzić danym na komputerze. Czy na pewno uruchomić skrypt i wykonać działania? Może to być spowodowane niespójnością skryptu (uszkodzony nagłówek, błędny tytuł sekcji, brak pustego wiersza pomiędzy sekcjami itd.). Można ponownie otworzyć plik skryptu i poprawić błędy w skrypcie albo utworzyć nowy skrypt usługi. 4.6.5 Często zadawane pytania Czy do uruchomienia programu ESET SysInspector wymagane są uprawnienia administratora? Do uruchomienia programu ESET SysInspector nie są wymagane uprawnienia administratora, jednak dostęp do niektórych informacji gromadzonych przez ten program można uzyskać tylko z konta administratora. Uruchomienie tego programu przez użytkownika z uprawnieniami standardowymi lub ograniczonymi spowoduje zgromadzenie mniejszej ilości informacji na temat środowiska operacyjnego. Czy program ESET SysInspector tworzy plik dziennika? W programie ESET SysInspector można utworzyć plik dziennika rejestrujący konfigurację komputera. Aby zapisać ten plik, z menu głównego należy wybrać kolejno opcje Plik > Zapisz dziennik. Dzienniki są zapisywane w formacie XML. Domyślnie pliki są zapisywane w katalogu %USERPROFILE%\Moj e dokumenty\, a przyjęta konwencja tworzenia nazw plików to SysInspector-%COMPUTERNAME%-RRMMDD-GGMM.XML. W razie potrzeby przed zapisaniem można zmienić lokalizację i nazwę pliku dziennika. W j aki sposób można wyświetlić plik dziennika utworzony w programie ESET SysInspector? Aby wyświetlić plik dziennika utworzony przez program ESET SysInspector, należy uruchomić ten program i z menu głównego wybrać kolejno opcje Plik > Otwórz dziennik. Można również przeciągnąć i upuścić pliki dziennika na aplikację ESET SysInspector. Jeśli użytkownik często wyświetla pliki dziennika w programie ESET SysInspector, warto utworzyć skrót do pliku SYSINSPECTOR.EXE na pulpicie. Następnie można przeciągać i upuszczać pliki dziennika na ten skrót w celu ich wyświetlenia. Ze względów bezpieczeństwa systemy Windows Vista i Windows 7 115 mogą nie zezwalać na operacje przeciągania i upuszczania między oknami z różnymi uprawnieniami zabezpieczeń. Czy j est dostępna specyfikacj a formatu pliku dziennika? Co z zestawem SDK? Ponieważ program jest nadal opracowywany, aktualnie nie są dostępne specyfikacje pliku dziennika ani zestaw SDK. Po wydaniu programu specyfikacje mogą zostać udostępnione, z uwzględnieniem opinii i potrzeb klientów. W j aki sposób program ESET SysInspector ocenia ryzyko związane z danym obiektem? W większości przypadków w programie ESET SysInspector poziomy ryzyka są przypisywane do obiektów (plików, procesów, kluczy rejestru itd.) przy użyciu zestawu reguł heurystycznych, które umożliwiają zbadanie właściwości i ocenę potencjału szkodliwego działania poszczególnych obiektów. Na podstawie analizy heurystycznej do obiektów są przypisywane poziomy ryzyka od 1 ((brak ryzyka, kolor zielony) do 9 (wysokie ryzyko, kolor czerwony) . W lewym okienku nawigacyjnym sekcje są pokolorowane zgodnie z najwyższym poziomem ryzyka występującego w nich obiektu. Czy poziom ryzyka 6 (Nieznany - kolor czerwony) oznacza, że obiekt j est niebezpieczny? Oceny sugerowane w programie ESET SysInspector nie gwarantują, że dany obiekt jest szkodliwy; ostateczny werdykt powinien wydać specjalista zajmujący się bezpieczeństwem. Program ESET SysInspector został opracowany, aby umożliwić ekspertom ds. bezpieczeństwa uzyskanie szybkiego przeglądu sytuacji i informacji o tym, które obiekty w systemie wymagają dokładniejszego zbadania pod kątem nietypowego działania. Dlaczego program ESET SysInspector nawiązuj e połączenie z Internetem po uruchomieniu? Podobnie jak wiele innych aplikacji program ESET SysInspector jest podpisany przy użyciu certyfikatu z sygnaturą cyfrową w celu zapewnienia, że został opublikowany przez firmę ESET i nie uległ modyfikacji. W celu zweryfikowania certyfikatu system operacyjny kontaktuje się z urzędem certyfikacji, co pozwala sprawdzić tożsamość wydawcy oprogramowania. Jest to normalne zachowanie w przypadku wszystkich cyfrowo podpisanych programów działających w systemie Microsoft Windows. Co to j est technologia Anti-Stealth? Technologia Anti-Stealth zapewnia skuteczne wykrywanie programów typu rootkit. Jeśli system zostanie zaatakowany przez złośliwy kod zachowujący się jak program typu rootkit, użytkownik może być narażony na utratę lub kradzież danych. Bez specjalnego narzędzia jest prawie niemożliwe wykrycie takich programów. Dlaczego czasami niektóre pliki oznaczone j ako „Podpisane przez MS” maj ą j ednocześnie inny wpis „Nazwa firmy”? Podczas próby identyfikacji sygnatury cyfrowej pliku wykonywalnego program ESET SysInspector najpierw sprawdza, czy sygnatura jest osadzona w pliku. Jeśli sygnatura zostanie znaleziona, plik zostanie zweryfikowany przy jej użyciu. Jeśli nie zostanie znaleziona, program ESI szuka pliku CAT (w katalogu zabezpieczeń: %systemroot% \system32\catroot) zawierającego informacje o przetwarzanym pliku wykonywalnym. Jeśli zostanie znaleziony odpowiedni plik CAT, podczas weryfikowania pliku wykonywalnego zostanie zastosowana sygnatura cyfrowa z pliku CAT. Dlatego właśnie niektóre pliki są oznaczone jako „Podpisane przez MS”, ale zawierają inny wpis w pozycji „Nazwa firmy”. Przykład: W systemie Windows 2000 dostępna jest aplikacja HyperTerminal znajdująca się w folderze C:\Program Files\Windows NT. Główny plik wykonywalny aplikacji nie jest podpisany cyfrowo, jednak program ESET SysInspector oznacza go jako podpisany przez firmę Microsoft. Jest to spowodowane obecnością odwołania w pliku C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat wskazującego na plik C:\Program Files\Windows NT\hypertrm.exe (główny plik wykonywalny aplikacji HyperTerminal), a plik sp4.cat jest podpisany cyfrowo przez firmę Microsoft. 116 4.6.6 ESET SysInspector j ako część produktu ESET Mail Security Aby otworzyć sekcję ESET SysInspector w programie ESET Mail Security, kliknij kolejno pozycje Narzędzia > ESET SysInspector. System zarządzania w oknie programu ESET SysInspector jest podobny do obsługi dzienników skanowania lub zaplanowanych zadań na komputerze. Wszystkie operacje dotyczące migawek systemu (tworzenie, wyświetlanie, porównywanie, usuwanie i eksportowanie) są dostępne po jednym lub dwóch kliknięciach. Okno programu ESET SysInspector zawiera podstawowe informacje o utworzonych migawkach, takie jak godzina utworzenia, krótki komentarz, nazwa użytkownika, który utworzył migawkę, oraz stan migawki. Aby porównać, utworzyć lub usunąć migawki, należy skorzystać z odpowiadających tym funkcjom przycisków umieszczonych pod listą migawek w oknie programu ESET SysInspector. Te opcje są także dostępne w menu kontekstowym. Aby wyświetlić wybraną migawkę systemu, w menu kontekstowym należy kliknąć opcję Pokaż. Aby wyeksportować wybrany zapis stanu bieżącego do pliku, należy kliknąć go prawym przyciskiem myszy i wybrać opcję Eksportuj . Poniżej przedstawiono szczegółowy opis dostępnych opcji: Porównaj — umożliwia porównanie dwóch istniejących już dzienników. Ta opcja jest przydatna, gdy użytkownik chce prześledzić różnice między aktualnym a starszym dziennikiem. Aby skorzystać z tej opcji, należy wybrać dwie migawki, które mają zostać porównane. Utwórz... — umożliwia utworzenie nowego rekordu. Najpierw należy wprowadzić krótki komentarz dotyczący rekordu. Postęp tworzenia migawki (dotyczący aktualnie generowanej migawki) można sprawdzić w kolumnie Stan. Wszystkie zakończone migawki mają stan Utworzono. Usuń/Usuń wszystkie — umożliwia usunięcie pozycji z listy. Eksportuj — powoduje zapisanie wybranej pozycji w pliku XML (także w wersji skompresowanej). 4.7 ESET SysRescue ESET SysRescue to narzędzie umożliwiające utworzenie płyty rozruchowej zawierającej jeden z produktów ESET Security — może być to ESET NOD32 Antivirus, ESET Smart Security lub jeden z produktów serwerowych. Główną zaletą programu ESET SysRescue jest fakt, że oprogramowanie ESET Security działa niezależnie od systemu operacyjnego komputera, mając jednocześnie bezpośredni dostęp do dysku i całego systemu plików. Umożliwia to usunięcie infekcji, których nie można usunąć w normalnych warunkach, na przykład podczas działania systemu operacyjnego itp. 4.7.1 Minimalne wymagania Program ESET SysRescue działa w środowisku Microsoft Windows Preinstallation Environment (Windows PE) w wersji 2.x, która jest oparta na systemie Windows Vista. Windows PE jest częścią bezpłatnego zestawu Windows Automated Installation Kit (Windows AIK) lub zestawu Windows Assessment and Deployment Kit (Windows ADK) i dlatego przed utworzeniem płyty CD programu ESET SysRescue musi zostać zainstalowany zestaw Windows AIK lub ADK (<%http://go.eset.eu/AIK%>) lub (<%http://go. eset.eu/ADK%>). To, który z tych zestawów należy zainstalować, zależy od używanej wersji systemu operacyjnego. Z powodu obsługi 32-bitowej wersji systemu Windows PE wymagane jest stosowanie 32-bitowego pakietu instalacyjnego oprogramowania ESET Security podczas tworzenia płyty ESET SysRescue w systemach 64-bitowych. Program ESET SysRescue obsługuje zestaw Windows AIK w wersji 1.1 i późniejszych, a także zestaw Windows ADK. UWAGA: Ponieważ zestaw Windows AIK ma rozmiar ponad 1 GB, a zestaw Windows ADK ponad 1,3 GB, ich sprawne pobranie wymaga szybkiego połączenia internetowego. Program ESET SysRescue jest dostępny w produktach ESET Security w wersji 4.0 i późniejszych. ESET SysRescue obsługuj e następuj ące systemy operacyj ne: Windows Server 2003 z dodatkiem Service Pack 1 z poprawką KB926044 Windows Server 2003 z dodatkiem Service Pack 2 Windows Server 2008 Windows Server 2012 Zestaw Windows AIK obsługuj e systemy: 117 Windows Server 2003 Windows Server 2008 Zestaw Windows ADK obsługuj e system: Windows Server 2012 4.7.2 W j aki sposób utworzyć ratunkową płytę CD Aby uruchomić kreatora dysku programu ESET SysRescue, należy kliknąć kolejno polecenia Start > Programy > ESET > ESET Mail Security > ESET SysRescue. W pierwszej kolejności kreator sprawdza, czy zainstalowano zestaw Windows AIK lub Windows ADK oraz czy jest dostępne odpowiednie urządzenie do utworzenia nośnika rozruchowego. Jeśli zestaw Windows AIK lub Windows ADK nie został zainstalowany na komputerze (lub jest uszkodzony bądź zainstalowany nieprawidłowo), w kreatorze będzie dostępna opcja jego instalacji lub podania ścieżki do folderu zestawu Windows AIK (<%http://go. eset.eu/AIK%>) lub zestawu Windows ADK (<%http://go.eset.eu/ADK%>). UWAGA: Ponieważ zestaw Windows AIK ma rozmiar ponad 1 GB, a zestaw Windows ADK ponad 1,3 GB, ich sprawne pobranie wymaga szybkiego połączenia internetowego. W następnym kroku 118 należy wybrać nośnik docelowy, na którym ma zostać umieszczony program ESET SysRescue. 4.7.3 Wybór nośnika docelowego Oprócz nośnika CD/DVD/USB można wybrać zapisanie zawartości dysku programu ESET SysRescue w pliku ISO. Następnie można nagrać obraz ISO na płycie CD/DVD lub użyć go w inny sposób (np. w środowisku wirtualnym VMware lub VirtualBox). W przypadku nagrania na nośniku USB program może nie uruchamiać się na niektórych komputerach. W niektórych wersjach systemu BIOS mogą wystąpić problemy z komunikacją między systemem BIOS a menedżerem rozruchu (np. w systemie Windows Vista) i rozruch zakończy się następującym komunikatem o błędzie: plik: \boot\bcd stan: 0xc000000e informacje: wystąpił błąd podczas próby odczytania danych konfiguracji rozruchu W przypadku napotkania takiego komunikatu zaleca się użycie płyty CD zamiast nośnika USB. 4.7.4 Ustawienia Przed rozpoczęciem tworzenia dysku programu ESET SysRescue, w ostatnim kroku kreatora dysku programu ESET SysRescue kreator instalacji wyświetla parametry kompilacji. Można je zmodyfikować, klikając przycisk Zmień. Dostępne opcje: Foldery 119 ESET Antivirus 119 Zaawansowane 119 Protokół internetowy 120 Urządzenie rozruchowe USB 120 (gdy jest wybrane docelowe urządzenie USB) Nagrywanie 120 (gdy jest wybrany docelowy napęd CD/DVD) Przycisk Utwórz jest nieaktywny, jeśli nie określono żadnego pakietu instalacyjnego MSI lub na komputerze nie jest zainstalowane żadne oprogramowanie ESET Security. Aby wybrać pakiet instalacyjny, należy kliknąć przycisk Zmień i przejść na kartę ESET Antivirus. Dodatkowo, jeśli nie wpisano nazwy użytkownika i hasła (Zmień > ESET Antivirus), przycisk Utwórz jest wyszarzony. 118 4.7.4.1 Foldery Folder tymczasowy to katalog roboczy służący do przechowywania plików wymaganych podczas kompilacji dysku ESET SysRescue. Folder pliku ISO to folder, w którym po zakończeniu kompilacji zapisywany jest wynikowy plik ISO. Lista znajdująca się na tej karcie zawiera wszystkie lokalne i mapowane dyski sieciowe (wraz z dostępnym na nich wolnym miejscem). Jeśli jakieś foldery znajdują się na dysku z niewystarczającym wolnym miejscem, zaleca się wybranie innego dysku zawierającego więcej dostępnego miejsca. W przeciwnym razie kompilacja może zakończyć się przedwcześnie z powodu braku wolnego miejsca. Aplikacj e zewnętrzne — umożliwia wybranie dodatkowych programów, które zostaną uruchomione lub zainstalowane po uruchomieniu komputera z nośnika ESET SysRescue. Uwzględnij aplikacj e zewnętrzne — umożliwia dodanie zewnętrznych programów do kompilacji dysku ESET SysRescue. Wybrany folder — folder zawierający programy, które mają zostać dodane do dysku ESET SysRescue. 4.7.4.2 ESET Antivirus W celu utworzenia płyty CD programu ESET SysRescue można wybrać dwa źródła plików firmy ESET do użycia przez kompilator. Folder ESS/EAV — pliki znajdujące się w folderze, w którym zainstalowano produkt ESET Security na komputerze. Plik MSI — pliki znajdujące się w instalatorze MSI. Następnie można wybrać opcję zaktualizowania lokalizacji plików (nup). Standardowo powinna być ustawiona opcja domyślna Folder ESS/EAV / plik MSI. W niektórych przypadkach można wybrać niestandardowy Folder aktualizacj i, na przykład w celu użycia starszej lub nowszej wersji bazy sygnatur wirusów. Można użyć jednego z następujących źródeł nazwy użytkownika i hasła: Zainstalowany program ESS/EAV — nazwa użytkownika i hasło zostaną skopiowane z aktualnie zainstalowanego programu ESET Security. Od użytkownika — nazwę użytkownika i hasło należy wprowadzić w odpowiednich polach tekstowych. UWAGA: Oprogramowanie ESET Security na płycie CD programu ESET SysRescue jest aktualizowane z Internetu lub z oprogramowania ESET Security zainstalowanego na komputerze, na którym uruchamiana jest płyta CD programu ESET SysRescue. 4.7.4.3 Ustawienia zaawansowane Karta Zaawansowane pozwala dostosować płytę CD programu ESET SysRescue do rozmiaru pamięci zainstalowanej w komputerze. Wybierz wartość 576 MB lub więcej w celu zapisania zawartości płyty CD w pamięci operacyjnej (RAM). W przypadku wybrania wartości mniej niż 576 MB podczas działania środowiska WinPE komputer będzie stale odczytywać zawartość ratunkowej płyty CD. W sekcji Sterowniki zewnętrzne można wstawić określone sterowniki sprzętowe (zwykle sterownik karty sieciowej). Choć środowisko WinPE jest oparte na systemie Windows Vista SP1, który obsługuje szeroką gamę sprzętu, niektóre urządzenia mogą nie zostać rozpoznane. Taka sytuacja wymaga ręcznego dodania sterownika. Sterownik można wprowadzić do kompilacji ESET SysRescue na dwa sposoby — ręcznie (przycisk Dodaj ) lub automatycznie (przycisk Wyszukaj automatycznie). W przypadku ręcznego wprowadzania sterownika należy wybrać ścieżkę do odpowiedniego pliku INF (w tym folderze musi się również znajdować właściwy plik *.sys). W trybie automatycznym sterownik jest wyszukiwany automatycznie w systemie operacyjnym komputera. Zaleca się zastosowanie trybu automatycznego tylko wtedy, gdy program ESET SysRescue jest używany na komputerze z taką samą kartą sieciową, jak karta zainstalowana w komputerze, na którym utworzono dysk programu ESET SysRescue. Podczas tworzenia dysku ESET SysRescue sterownik jest wprowadzany do kompilacji, dzięki czemu później nie trzeba go szukać. 119 4.7.4.4 Protokół internetowy W tej sekcji można określić podstawowe informacje na temat sieci i skonfigurować wstępnie zdefiniowane połączenia po uruchomieniu programu ESET SysRescue. Aby automatycznie uzyskać adres IP z serwera DHCP (Dynamic Host Configuration Protocol), należy zaznaczyć opcję Automatyczny prywatny adres IP. Dla tego połączenia sieciowego można także ręcznie określić adres IP (czyli nadać statyczny adres IP). Aby skonfigurować odpowiednie ustawienia protokołu IP, należy wybrać opcję Niestandardowe. W przypadku wybrania tej opcji należy określić dane w polu Adres IP, a w przypadku sieci LAN i szybkich połączeń internetowych także w polu Maska podsieci. W polach Preferowany serwer DNS i Alternatywny serwer DNS należy wpisać adresy podstawowego i pomocniczego serwera DNS. 4.7.4.5 Urządzenie rozruchowe USB Jeśli jako nośnik docelowy wybrano urządzenie USB, na karcie Urządzenie rozruchowe USB można wybrać jedno z dostępnych urządzeń (jeśli dostępnych jest wiele urządzeń USB). Należy wybrać odpowiednie urządzenie docelowe (opcja Urządzenie), na którym zostanie zainstalowany program ESET SysRescue. Ostrzeżenie: Podczas tworzenia dysku programu ESET SysRescue wybrane urządzenie USB zostanie sformatowane. Wszystkie dane zapisane na urządzeniu zostaną usunięte. W przypadku wybrania opcji Szybkie formatowanie podczas formatowania z partycji zostaną usunięte wszystkie pliki, ale dysk nie zostanie przeskanowany w poszukiwaniu uszkodzonych sektorów. Tę opcję można wybrać, jeśli urządzenie USB zostało wcześniej sformatowane i na pewno nie jest uszkodzone. 4.7.4.6 Nagrywanie Jeśli jako nośnik docelowy wybrana została płyta CD/DVD, na karcie Nagrywanie można określić dodatkowe parametry nagrywania. Usuń plik ISO — zaznaczenie tej opcji powoduje usunięcie tymczasowego pliku ISO po utworzeniu płyty CD programu ESET SysRescue. Włączone usuwanie — umożliwia wybranie szybkiego wymazywania i pełnego wymazywania. Urządzenie nagrywaj ące — należy wybrać napęd używany do nagrywania. Ostrzeżenie: Jest to opcja domyślna. W przypadku używania płyty CD/DVD wielokrotnego zapisu wszystkie znajdujące się na niej dane zostaną usunięte. Sekcja Nośnik zawiera informacje o nośniku znajdującym się aktualnie w stacji dysków CD/DVD. Szybkość nagrywania — należy wybrać odpowiednią szybkość z menu rozwijanego. Podczas wybierania szybkości nagrywania należy uwzględnić możliwości urządzenia nagrywającego oraz typ używanej płyty CD/DVD. 4.7.5 Praca z programem ESET SysRescue Aby ratunkowa płyta CD/DVD/dysk USB mógł działać skutecznie, należy uruchomić komputer z nośnika rozruchowego ESET SysRescue. Priorytet uruchamiania można zmodyfikować w systemie BIOS. Innym rozwiązaniem jest użycie menu startowego podczas uruchamiania komputera (zazwyczaj służy do tego jeden z klawiszy F9–F12, w zależności od wersji płyty głównej/systemu BIOS). Po uruchomieniu systemu z nośnika rozruchowego zostanie uruchomiony program ESET Security. Ponieważ program ESET SysRescue jest używany jedynie w określonych sytuacjach, niektóre moduły ochrony oraz funkcje dostępne w standardowej wersji oprogramowania ESET Security nie są potrzebne — ich lista jest ograniczona do funkcji Skanowanie komputera, Aktualizacj a oraz niektórych sekcji w obszarze Ustawienia. Możliwość aktualizacji bazy sygnatur wirusów jest najważniejszą funkcją programu ESET SysRescue i zalecane jest zaktualizowanie programu przed uruchomieniem skanowania komputera. 120 4.7.5.1 Korzystanie z programu ESET SysRescue Załóżmy, że komputery w sieci zostały zarażone wirusem modyfikującym pliki wykonywalne (z rozszerzeniem EXE). Program ESET Security może wyleczyć wszystkie zarażone pliki oprócz pliku explorer.exe, którego nie można wyleczyć nawet w trybie awaryjnym. Jest to spowodowane faktem, że program explorer.exe, który jest jednym z podstawowych procesów systemu Windows, jest uruchamiany również w trybie awaryjnym. Program ESET Security nie może wykonać żadnych operacji na tym pliku, dlatego pozostanie on zarażony. W takiej sytuacji można użyć programu ESET SysRescue, aby rozwiązać problem. Program ESET SysRescue nie wymaga żadnych składników systemu operacyjnego komputera, dzięki czemu może przetwarzać (leczyć, usuwać) wszystkie pliki na dysku. 4.8 Opcj e interfej su użytkownika Opcje konfiguracji interfejsu użytkownika w programie ESET Mail Security umożliwiają dostosowanie środowiska pracy do potrzeb użytkownika. Opcje konfiguracji dostępne są w gałęzi Interfej s użytkownika drzewa ustawień zaawansowanych programu ESET Mail Security. W sekcji Elementy interfej su użytkownika znajduje się opcja Tryb zaawansowany pozwalająca na przejście do trybu zaawansowanego. W trybie zaawansowanym są wyświetlane bardziej szczegółowe ustawienia i dodatkowe formanty programu ESET Mail Security. Graficzny interfej s użytkownika należy wyłączyć, jeśli elementy graficzne spowalniają działanie komputera lub powodują inne problemy. Można go również wyłączyć, aby na przykład uniknąć konfliktów ze specjalnymi aplikacjami służącymi do odczytywania tekstu wyświetlanego na ekranie, z których korzystają osoby niedowidzące. Aby wyłączyć ekran powitalny programu ESET Mail Security, należy usunąć zaznaczenie opcji Pokaż ekran powitalny przy uruchamianiu. W górnej części głównego okna programu ESET Mail Security znajduje się standardowe menu, które może być włączone lub wyłączone w zależności od ustawienia opcji Użyj standardowego menu. Jeśli opcja Pokaż etykiety narzędzi jest włączona, po umieszczeniu kursora nad wybraną opcją zostanie wyświetlony jej krótki opis. Włączenie opcji Zaznacz aktywny element menu spowoduje zaznaczenie dowolnego elementu, który znajduje się w obszarze działania kursora myszy. Zaznaczony element zostanie uruchomiony po kliknięciu przyciskiem myszy. Aby zwiększyć lub zmniejszyć szybkość animowanych efektów, należy wybrać opcję Użyj animowanych elementów steruj ących i przesunąć suwak Szybkość w lewo lub w prawo. Jeśli do wyświetlania postępu różnych operacji mają być używane animowane ikony, należy wybrać opcję Użyj animowanych ikon j ako wskaźnika postępu. Aby po wystąpieniu ważnego zdarzenia program generował dźwięk, należy wybrać opcję Użyj sygnałów dźwiękowych. 121 Do funkcji Interfej su użytkownika należy również ochrona hasłem parametrów konfiguracji programu ESET Mail Security. Ta opcja znajduje się w podmenu Ochrona ustawień w menu Interfej s użytkownika. Do zapewnienia maksymalnego bezpieczeństwa systemu ważne jest prawidłowe skonfigurowanie programu. Nieautoryzowane modyfikacje mogą powodować utratę ważnych danych. Aby ustawić hasło ochrony parametrów konfiguracji, należy kliknąć przycisk Ustaw hasło. 122 4.8.1 Alerty i powiadomienia Sekcja ustawień Alerty i powiadomienia w obszarze Interfej s użytkownika umożliwia skonfigurowanie sposobu obsługi alertów o zagrożeniach i powiadomień systemowych w programie ESET Mail Security. Pierwszym elementem jest opcja Wyświetlaj alerty. Wyłączenie tej opcji spowoduje anulowanie wszystkich okien alertów — jest to zalecane jedynie w specyficznych sytuacjach. W przypadku większości użytkowników zaleca się pozostawienie ustawienia domyślnego tej opcji (włączona). Aby wyskakujące okienka były automatycznie zamykane po upływie określonego czasu, należy zaznaczyć opcję Automatycznie zamykaj okna komunikatów po (sek.). Jeśli użytkownik nie zamknie okna powiadomień ręcznie, zostanie ono zamknięte automatycznie po upływie określonego czasu. Powiadomienia na pulpicie i dymki mają charakter informacyjny i nie proponują ani nie wymagają działań ze strony użytkownika. Są one wyświetlane w obszarze powiadomień w prawym dolnym rogu ekranu. Aby włączyć wyświetlanie powiadomień na pulpicie, należy włączyć opcję Wyświetlaj powiadomienia na pulpicie. Szczegółowe opcje, takie jak czas wyświetlania powiadomienia i przezroczystość okien, można zmodyfikować po kliknięciu przycisku Konfiguruj powiadomienia. Aby wyświetlić podgląd powiadomień, należy kliknąć przycisk Podgląd. Do konfigurowania czasu wyświetlania porad w dymkach służy opcja Wyświetlaj porady w dymkach na pasku zadań (sek.). Kliknięcie opcji Ustawienia zaawansowane powoduje przejście do dodatkowych opcji Alertów i powiadomień, do których należy opcja Wyświetlaj tylko powiadomienia wymagaj ące interwencj i użytkownika. Ta opcja pozwala włączyć lub wyłączyć wyświetlanie alertów i powiadomień niewymagających interwencji użytkownika. Wybranie opcji Wyświetlaj tylko powiadomienia wymagaj ące interwencj i użytkownika (podczas uruchamiania aplikacj i w trybie pełnoekranowym) powoduje, że powiadomienia niewymagające interwencji użytkownika nie są wyświetlane. Z menu rozwijanego Minimalna szczegółowość zdarzeń do wyświetlenia można wybrać początkowy stopień ważności alertów i powiadomień, które będą wyświetlane. Ostatnia funkcja w tej sekcji umożliwia określenie miejsca docelowego powiadomień w środowisku z wieloma użytkownikami. Pole W systemach z wieloma użytkownikami wyświetlaj powiadomienia na ekranie następuj ącego użytkownika umożliwia określenie użytkownika, który będzie otrzymywał ważne powiadomienia w programie ESET Mail Security. Zazwyczaj takimi osobami są administrator systemu lub administrator sieci. Ta opcja jest szczególnie przydatna w przypadku serwerów terminali, pod warunkiem, że wszystkie powiadomienia systemowe są wysyłane do administratora. 123 4.8.2 Wyłączanie interfej su GUI na serwerze terminali W tym rozdziale omówiono wyłączanie graficznego interfejsu użytkownika (GUI) w programie ESET Mail Security działającym na serwerze terminali systemu Windows dla sesji użytkownika. Graficzny interfejs użytkownika programu ESET Mail Security jest zwykle uruchamiany po zalogowaniu się zdalnego użytkownika na serwerze i po utworzeniu przez niego sesji terminalu. To działanie jest przeważnie niepożądane w przypadku serwerów terminali. Aby wyłączyć interfejs GUI dla sesji terminali, należy wykonać poniższe kroki: 1. Wprowadź polecenie regedit.exe 2. Przejdź do węzła HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 3. Kliknij prawym przyciskiem myszy wartość egui i wybierz opcję Modyfikuj 4. Dodaj parametr /terminal na końcu istniejącego wyrażenia. Poniżej przedstawiono przykład wartości elementu egui: "C:\Program Files\ESET\ESET Mail Security\egui.exe" /hide /waitservice /terminal Aby cofnąć tę zmianę i włączyć automatyczne uruchamianie interfejsu GUI programu ESET Mail Security, należy usunąć parametr /terminal z wartości rejestru. Aby przejść do wartości egui w rejestrze, należy powtórzyć kroki od 1 do 3. 4.9 eShell eShell (krótka forma nazwy ESET Shell) to interfejs wiersza polecenia programu ESET Mail Security. Stanowi on alternatywę dla graficznego interfejsu użytkownika (GUI). Interfejs eShell oferuje te same funkcje i opcje, które są dostępne za pośrednictwem interfejsu GUI. Interfejs eShell pozwala konfigurować program i administrować nim bez użycia interfejsu GUI. Zawiera on wszystkie funkcje dostępne w interfejsie GUI, a ponadto umożliwia zautomatyzowanie działań za pomocą skryptów uruchamianych w celu konfigurowania ustawień, modyfikowania konfiguracji lub wykonywania określonych czynności. Interfejs eShell może być również przydatny dla tych użytkowników, którzy wolą wiersz polecenia od interfejsu GUI. UWAGA: Osobny podręcznik interfejsu eShell można pobrać tutaj. Zawiera ona listę wszystkich poleceń wraz z ich składnią i opisem. W tej sekcji opisano sposób nawigowania po interfejsie eShell i korzystania z niego oraz przedstawiono listę wszystkich poleceń wraz z opisami ich zastosowania i działania. Interfejs eShell można uruchamiać w dwóch trybach: Tryb interaktywny — jest przydatny, kiedy interfejs eShell ma zostać użyty do wykonania jakiegoś ogólniejszego działania (a nie tylko jednego polecenia), np. zmodyfikowania konfiguracji albo wyświetlenia dzienników. Tryb interaktywny jest też pomocny, gdy użytkownik nie zna jeszcze wszystkich poleceń. Tryb interaktywny ułatwia nawigowanie po interfejsie eShell. Są w nim również wyświetlane dostępne polecenia, których można użyć w danej sytuacji. Pojedyncze polecenie/tryb wsadowy — tego trybu można użyć, aby wykonać tylko jedno polecenie bez uruchamiania trybu interaktywnego interfejsu eShell. Można to zrobić za pomocą wiersza polecenia systemu Windows, wpisując polecenie eshell z odpowiednimi parametrami. Na przykład: eshell set av document status enabled UWAGA: Aby uruchamiać polecenia interfejsu eShell z wiersza polecenia systemu Windows lub uruchamiać pliki wsadowe, należy najpierw włączyć tę funkcję (wykonać polecenie set general access batch always w trybie interaktywnym). Aby uzyskać więcej informacji o poleceniu „set batch”, kliknij tutaj 128 . Tryb interaktywny interfejsu eShell można włączyć na dwa sposoby: Za pomocą menu Start systemu Windows: Start > Wszystkie programy > ESET > ESET File Security > ESET shell Za pomocą wiersza polecenia systemu Windows, wpisując polecenie eshell i naciskając klawisz Enter 124 Przy pierwszym uruchomieniu interfejsu eShell w trybie interaktywnym jest wyświetlany ekran pierwszego uruchomienia. Przedstawia on kilka podstawowych przykładów używania interfejsu eShell z zastosowaniem składni, przedrostka, ścieżki polecenia, form skróconych, aliasów itp. Jest to w zasadzie krótki przewodnik po interfejsie eShell. UWAGA: Aby później wyświetlić ekran pierwszego uruchomienia, należy wpisać polecenie guide . UWAGA: Wielkość liter używanych w poleceniach nie jest rozróżniana. Można używać zarówno wielkich, jak i małych liter — nie będzie to miało wpływu na wykonanie polecenia. 4.9.1 Sposób użycia Składnia Polecenia muszą być sformatowane według określonych reguł składniowych i mogą składać się z przedrostka, kontekstu, argumentów, opcji itd. Ogólna składnia używana w całym interfejsie eShell to: [<przedrostek>] [<ścieżka polecenia>] <polecenie> [<argumenty>] Przykład (uaktywnienie ochrony dokumentów): SET AV DOCUMENT STATUS ENABLED SET — przedrostek AV DOCUMENT — ścieżka do określonego polecenia; kontekst, do którego należy dane polecenie. STATUS — samo polecenie ENABLED — argument polecenia Wpisanie HELP lub ? wraz z poleceniem umożliwia wyświetlenie składni danego polecenia. Na przykład wpisanie ciągu CLEANLEVEL HELP spowoduje wyświetlenie składni polecenia CLEANLEVEL : SKŁADNIA: [get] | restore cleanlevel set cleanlevel none | normal | strict Można zauważyć, że wyraz [get] znajduje się w nawiasach kwadratowych. To oznacza, że ciąg get jest przedrostkiem domyślnym polecenia cleanlevel . Oznacza to, że gdy polecenie cleanlevel zostanie wykonane bez określonego przedrostka, w rzeczywistości zostanie użyty przedrostek domyślny (w tym przypadku get cleanlevel ). Używanie poleceń bez przedrostków pozwala zaoszczędzić czas podczas pisania. Zazwyczaj przedrostek get jest przedrostkiem domyślnym większości poleceń. Należy się jednak upewnić, jaki przedrostek domyślny jest stosowany do określonego polecenia oraz czy spowoduje on wykonanie żądanej operacji. UWAGA: Wielkość liter używanych w poleceniach nie jest rozróżniana. Można używać zarówno wielkich, jak i małych liter — nie będzie to miało wpływu na wykonanie polecenia. Przedrostek lub operacj a Przedrostek oznacza operację. Przedrostek GET pozwala wyświetlić informacje o konfiguracji określonej funkcji programu ESET Mail Security lub jej stanie (na przykład polecenie GET AV STATUS umożliwia wyświetlenie informacji o aktualnym stanie ochrony). Przedrostek SET umożliwia skonfigurowanie funkcji lub zmodyfikowanie jej stanu (polecenieSET AV STATUS ENABLED uaktywnia ochronę). 125 Oto przedrostki używane w interfejsie eShell. Polecenie może nie obsługiwać wszystkich poniższych przedrostków: GET — zwrócenie bieżącego ustawienia/stanu SET — ustawienie wartości/stanu SELECT — wybranie elementu ADD — dodanie elementu REMOVE — usunięcie elementu CLEAR — usunięcie wszystkich elementów/plików START — rozpoczęcie wykonywania czynności STOP — zakończenie wykonywania czynności PAUSE — wstrzymanie czynności RESUME — wznowienie czynności RESTORE — przywrócenie ustawień domyślnych lub domyślnego obiektu/pliku SEND — wysłanie obiektu/pliku IMPORT — importowanie z pliku EXPORT — eksportowanie do pliku Przedrostki takie, jak GET i SET mogą być używane z wieloma poleceniami. Jednak niektóre polecenia, takie jak EXIT, nie obsługują przedrostków. Ścieżka polecenia/kontekst Polecenia są umieszczane w kontekstach, które tworzą strukturę drzewa. Górny poziom drzewa stanowi katalog główny (root). Po uruchomieniu interfejsu eShell użytkownik znajduje się na poziomie katalogu głównego: eShell> Można wykonywać polecenia z tego poziomu lub wprowadzić nazwę kontekstu, aby nawigować w obszarze drzewa. Na przykład wprowadzenie kontekstu TOOLS spowoduje wyświetlenie listy wszystkich poleceń i kontekstów podrzędnych dostępnych z tego poziomu. Kolorem żółtym oznaczono polecenia możliwe do wykonania. Kolorem szarym wyróżniono konteksty podrzędne, do których można przejść. Kontekst podrzędny zawiera kolejne polecenia. Aby przejść z powrotem na wyższy poziom, należy wpisać .. (dwie kropki). Załóżmy, że użytkownik znajduje się na następującym poziomie: eShell av options> Po wpisaniu ciągu .. będzie znajdować się o jeden poziom wyżej: eShell av> Aby powrócić do poziomu katalogu głównego z poziomu eShell av options> (który znajduje się o dwa poziomy niżej niż katalog główny), należy wpisać ciąg .. .. (dwie kropki, spacja, dwie kropki). W ten sposób można przejść o dwa poziomy wyżej, czyli w tym przypadku do poziomu katalogu głównego. Tej metody można używać na dowolnym poziomie drzewa kontekstu. Wystarczy wpisać ciąg .. tyle razy, ile potrzeba, aby przejść na żądany poziom. 126 Ścieżka jest względna wobec bieżącego kontekstu. Jeśli polecenie jest zawarte w bieżącym kontekście, nie należy podawać ścieżki. Aby na przykład wykonać polecenie GET AV STATUS, należy wprowadzić następujący ciąg: GET AV STATUS — z poziomu kontekstu elementu głównego (wiersz polecenia ma postać eShell>) GET STATUS — z poziomu kontekstu AV (wiersz polecenia ma postać eShell av>) .. GET STATUS — z poziomu kontekstu AV OPTIONS (wiersz polecenia ma postać eShell av options>) Argument Argument oznacza czynność wykonywaną dla określonego polecenia. Na przykład polecenie CLEANLEVEL może być używane z następującymi argumentami: none — brak leczenia normal — leczenie standardowe strict — leczenie dokładne Inne przykłady argumentów to ENABLED lub DISABLED,które służą do włączania i wyłączania określonych funkcji. Forma skrócona/polecenia skrócone W interfejsie eShell można skracać konteksty, polecenia i argumenty (o ile dany argument jest przełącznikiem lub opcją alternatywną). Nie można skracać przedrostków i argumentów będących konkretną wartością, taką jak liczba, nazwa lub ścieżka. Przykłady formy skróconej: set status enabled => set stat en add av exclusions C:\path\file.ext => add av exc C:\path\file.ext W przypadku, gdy dwa polecenia lub konteksty rozpoczynają się taką samą literą, na przykład ABOUT i AV,a użytkownik wprowadzi literę A jako polecenie skrócone, rozróżnienie, które z poleceń ma zostać wykonane w interfejsie eShell, będzie niemożliwe. Zostanie wówczas wyświetlony komunikat o błędzie oraz lista poleceń rozpoczynających się literą „A”, z których można wybrać odpowiednie: eShell>a Następujące polecenie nie jest unikatowe: a W tym kontekście dostępne są następujące polecenia: ABOUT - Wyświetlanie informacji o programie AV - Zmiana kontekstu na av Po dodaniu przez użytkownika jednej lub kilku liter (np. AB zamiast samej litery A) w interfejsie eShell zostanie wykonane polecenie ABOUT, ponieważ w tym momencie będzie ono unikatowe. UWAGA: Aby mieć pewność, że polecenie zostanie wykonane prawidłowo, zaleca się używanie pełnych form poleceń, argumentów i innych elementów zamiast form skróconych. Pozwala to na wykonanie polecenia w wymagany sposób i uniknięcie niepożądanych błędów. Ma to szczególne znaczenie w przypadku plików wsadowych i skryptów. Aliasy Alias to alternatywna nazwa, przy użyciu której można wykonać polecenie (o ile do danego polecenia przypisano alias). Istnieje kilka aliasów domyślnych: (global) help - ? (global) close - exit (global) quit - exit (global) bye - exit warnlog - tools log events virlog - tools log detections Oznaczenie „(global)” wskazuje, że dane polecenie może być użyte w dowolnym miejscu, niezależnie od bieżącego kontekstu. Do jednego polecenia można przypisać wiele aliasów, na przykład polecenie EXIT ma aliasy CLOSE, QUIT i BYE. Aby zakończyć działanie interfejsu eShell, można użyć polecenia EXIT lub dowolnego z jego aliasów. Alias VIRLOG jest aliasem polecenia DETECTIONS, które znajduje się w kontekście TOOLS LOG . Polecenie DETECTIONS jest więc dostępne w kontekście ROOT, co ułatwia jego wykonywanie (nie trzeba przechodzić do kontekstu TOOLS, a następnie do kontekstu LOG, lecz można uruchomić polecenie bezpośrednio w kontekście ROOT). Interfejs eShell umożliwia definiowanie własnych aliasów. 127 Polecenia chronione hasłem Niektóre polecenia są chronione i można je wykonać jedynie po wprowadzeniu hasła. Polecenie Guide Wydanie polecenia GUIDE powoduje wyświetlenie ekranu pierwszego uruchomienia, który zawiera informacje dotyczące sposobu korzystania z interfejsu eShell. To polecenie jest dostępne z kontekstu ROOT (eShell>). Polecenie Help Polecenie HELP użyte bez dodatku innych elementów powoduje wyświetlenie listy wszystkich dostępnych poleceń wraz z przedrostkami oraz kontekstów podrzędnych w obszarze bieżącego kontekstu. Do każdego polecenia i kontekstu podrzędnego jest ponadto dołączony krótki opis. Użycie ciągu HELP jako argumentu z określonym poleceniem (np. CLEANLEVEL HELP)powoduje wyświetlenie szczegółowych informacji na temat danego polecenia. Obejmują one SKŁADNIĘ, OPERACJE, ARGUMENTY i ALIASY dotyczące danego polecenia oraz ich krótkie opisy. Historia poleceń Interfejs eShell zachowuje historię uprzednio wykonanych poleceń. Obejmuje ona tylko bieżącą interaktywną sesję interfejsu eShell. Po zakończeniu działania interfejsu eShell historia poleceń zostanie usunięta. W celu przeglądania historii należy użyć klawiszy strzałek w górę i w dół na klawiaturze. Po odnalezieniu odpowiedniego polecenia można wykonać je ponownie lub zmodyfikować bez konieczności ponownego wpisywania całego polecenia. Polecenie CLS (czyszczenie ekranu) Za pomocą polecenia CLS można wyczyścić ekran. Działa ono w taki sam sposób, jak w przypadku wiersza polecenia systemu Windows lub podobnego interfejsu wiersza polecenia. Polecenia EXIT/CLOSE/QUIT/BYE Aby zamknąć interfejs eShell lub zakończyć jego działanie, można użyć dowolnego z tych poleceń (EXIT, CLOSE, QUIT lub BYE). 4.9.2 Polecenia W tej sekcji opisano kilka przykładowych poleceń interfejsu eShell. Kompletną listę poleceń zawiera podręcznik interfejsu eShell, który można pobrać tutaj. UWAGA: Wielkość liter używanych w poleceniach nie jest rozróżniana. Można używać zarówno wielkich, jak i małych liter — nie będzie to miało wpływu na wykonanie polecenia. Polecenia zawarte w kontekście ROOT: ABOUT Wyświetlenie informacji o programie. Obejmują one nazwę zainstalowanego produktu, numer wersji, zainstalowane komponenty (łącznie z numerem wersji każdego z nich) oraz podstawowe informacje o serwerze i systemie operacyjnym, w którym działa program ESET Mail Security. ŚCIEŻKA KONTEKSTU: root BATCH Uruchomienie trybu wsadowego interfejsu eShell. To polecenie jest bardzo przydatne przy uruchamianiu plików wsadowych bądź skryptów. Zalecamy uruchamianie plików wsadowych za pomocą tego polecenia. Aby uruchomić tryb wsadowy, należy umieścić polecenie START BATCH jako pierwsze polecenie w pliku wsadowym lub skrypcie. Po włączeniu tej funkcji nie są wymagane dodatkowe działania użytkownika (na przykład wprowadzenie hasła), a brakujące argumenty są zastępowane wartościami domyślnymi. Pozwala to zapobiegać sytuacjom, gdy przetwarzanie wsadowe jest przerywane, ponieważ interfejs eShell oczekuje na działanie użytkownika. Dzięki temu plik wsadowy będzie przetwarzany bez zakłóceń (o ile nie wystąpi błąd lub któreś z poleceń w pliku wsadowym nie okaże się błędne). ŚCIEŻKA KONTEKSTU: root SKŁADNIA: [start] batch OPERACJE: 128 start — uruchomienie interfejsu eShell w trybie wsadowym ŚCIEŻKA KONTEKSTU: root PRZYKŁADY: start batch — uruchomienie trybu wsadowego interfejsu eShell GUIDE Wyświetlenie ekranu pierwszego uruchomienia. ŚCIEŻKA KONTEKSTU: root PASSWORD Aby wykonać polecenie chronione hasłem, zwykle ze względów bezpieczeństwa należy wpisać hasło. Zasada ta dotyczy na przykład poleceń wyłączających ochronę antywirusową bądź mogących wpływać na działanie programu ESET Mail Security. Użytkownik jest proszony o podanie hasła przed każdym wykonaniem takiego polecenia. Aby nie wprowadzać hasła za każdym razem, można je zdefiniować. Zostanie ono zapamiętane przez interfejs eShell i będzie używane automatycznie przy wykonywaniu poleceń chronionych hasłem. Dzięki temu nie będzie konieczne każdorazowe wprowadzanie hasła przez użytkownika. UWAGA: Zdefiniowane hasło jest używane tylko podczas bieżącej interaktywnej sesji interfejsu eShell. Po zakończeniu pracy z interfejsem eShell zdefiniowane hasło jest usuwane. Po kolejnym uruchomieniu interfejsu eShell należy ponownie zdefiniować hasło. Zdefiniowane hasło jest też bardzo przydatne podczas uruchamiania plików wsadowych i skryptów. Oto przykład takiego pliku wsadowego: eshell start batch "&" set password plain <hasło> "&" set status disabled Powyższe połączone polecenie uruchamia tryb wsadowy, definiuje hasło, które będzie używane, oraz wyłącza ochronę. ŚCIEŻKA KONTEKSTU: root SKŁADNIA: [get] | restore password set password [plain <hasło>] OPERACJE: get — wyświetlenie hasła set — ustawienie lub wyczyszczenie hasła restore — wyczyszczenie hasła ARGUMENTY: plain — przełączenie na wprowadzanie hasła jako parametru password — hasło PRZYKŁADY: set password plain <hasło> — ustawienie hasła, które będzie używane na potrzeby wykonywania poleceń chronionych hasłem restore password — wyczyszczenie hasła PRZYKŁADY: get password — to polecenie pozwala sprawdzić, czy hasło zostało skonfigurowane (wyświetlane są jedynie 129 gwiazdki „*”, samo hasło nie jest widoczne). Brak gwiazdek oznacza, że hasło nie zostało jeszcze ustawione. set password plain <hasło> — ustawienie zdefiniowanego hasła restore password — wyczyszczenie zdefiniowanego hasła STATUS Wyświetlenie informacji o aktualnym stanie ochrony programu ESET Mail Security (podobnie jak w interfejsie GUI). ŚCIEŻKA KONTEKSTU: root SKŁADNIA: [get] | restore status set status disabled | enabled OPERACJE: get — wyświetlenie stanu ochrony antywirusowej set — wyłączenie/włączenie ochrony antywirusowej restore — przywrócenie ustawień domyślnych ARGUMENTY: disabled — wyłączenie ochrony antywirusowej enabled — włączenie ochrony antywirusowej PRZYKŁADY: get status — wyświetlenie aktualnego stanu ochrony set status disabled — wyłączenie ochrony restore status — przywrócenie domyślnego ustawienia ochrony (włączone) VIRLOG To jest alias polecenia DETECTIONS . To polecenie służy do wyświetlania informacji o wykrytych infekcjach. WARNLOG To jest alias polecenia EVENTS . To polecenie służy do wyświetlania informacji o różnych zdarzeniach. 130 4.10 Import i eksport ustawień Konfigurację programu ESET Mail Security można importować lub eksportować w obszarze Ustawienia po kliknięciu przycisku Import i eksport ustawień. Importowanie i eksportowanie ustawień odbywa się z użyciem plików XML. Funkcja eksportu i importu jest przydatna, gdy konieczne jest utworzenie kopii zapasowej bieżącej konfiguracji programu ESET Mail Security w celu jej użycia w późniejszym czasie. Funkcja eksportu ustawień jest również pomocna dla użytkowników, którzy chcą używać preferowanej konfiguracji programu ESET Mail Security na wielu komputerach — ustawienia można łatwo przenieść, importując je z pliku XML. 4.11 ThreatSense.Net System monitorowania zagrożeń ThreatSense.Net pomaga zapewnić natychmiastowe i ciągłe informowanie firmy ESET o nowych próbach ataków. Dwukierunkowy system wczesnego ostrzegania ThreatSense.Net ma jeden cel — poprawę oferowanej ochrony. Najlepszą gwarancją wykrycia nowych zagrożeń natychmiast po ich pojawieniu się jest „połączenie” jak największej liczby naszych klientów i obsadzenie ich w roli tropicieli zagrożeń. Istnieją dwie możliwości: 1. Można nie włączać systemu monitorowania zagrożeń ThreatSense.Net. Funkcjonalność oprogramowania nie ulegnie zmniejszeniu, a użytkownik nadal będzie otrzymywać najlepszą ochronę. 2. System ThreatSense.Net można skonfigurować w taki sposób, aby anonimowe informacje o nowych zagrożeniach i lokalizacjach nowego niebezpiecznego kodu były przesyłane w postaci pojedynczego pliku. Ten plik może być przesyłany do firmy ESET w celu szczegółowej analizy. Zbadanie zagrożeń pomoże firmie ESET ulepszać metody wykrywania zagrożeń. System monitorowania zagrożeń ThreatSense.Net zgromadzi informacje o komputerze użytkownika powiązane z nowo wykrytymi zagrożeniami. Te informacje mogą zawierać próbkę lub kopię pliku, w którym wystąpiło zagrożenie, ścieżkę do tego pliku, nazwę pliku, datę i godzinę, proces, za pośrednictwem którego zagrożenie pojawiło się na komputerze, oraz informacje o systemie operacyjnym komputera. Chociaż istnieje możliwość, że w wyniku tego pracownicy laboratorium firmy ESET mogą mieć dostęp do niektórych informacji dotyczących użytkownika lub jego komputera (np. do nazw użytkowników widocznych w ścieżce katalogu), nie będą one używane w ŻADNYM innym celu niż ulepszanie systemu monitorowania zagrożeń. Domyślna konfiguracja programu ESET Mail Security zawiera zdefiniowaną opcję pytania użytkownika przed przesłaniem podejrzanych plików do szczegółowej analizy w laboratorium zagrożeń firmy ESET. Pliki z określonymi rozszerzeniami, takimi jak DOC lub XLS, są zawsze wyłączone. Można również dodać inne rozszerzenia, jeśli istnieją pliki, które użytkownik lub jego firma życzy sobie wyłączyć z procesu przesyłania. 131 Do konfiguracji systemu ThreatSense.Net można przejść z poziomu drzewa ustawień zaawansowanych, wybierając kolejno opcje Narzędzia > ThreatSense.Net. Po wybraniu opcji Włącz system monitorowania zagrożeń ThreatSense, w celu włączenia tego systemu należy kliknąć przycisk Ustawienia zaawansowane. 4.11.1 Podej rzane pliki Karta Podej rzane pliki umożliwia skonfigurowanie sposobu przesyłania zagrożeń do laboratorium firmy ESET w celu przeprowadzenia analizy. Po wykryciu podejrzanego pliku na komputerze można go przesłać do analizy w laboratorium firmy. Jeśli plik okaże się szkodliwą aplikacją, informacje potrzebne do jej wykrywania zostaną dodane do kolejnej aktualizacji bazy sygnatur wirusów. Można skonfigurować ustawienia w taki sposób, aby pliki były przesyłane automatycznie, lub wybrać opcję Pytaj przed przesłaniem, aby uzyskać informacje o plikach wysyłanych do analizy i potwierdzić ich wysłanie. 132 Jeśli nie mają być przesyłane żadne pliki, należy zaznaczyć opcję Nie przesyłaj do analizy. Zaznaczenie tej opcji nie wpływa na przesyłanie informacji statystycznych, których ustawienia są konfigurowane w innym miejscu (patrz sekcja Statystyki 133 ). Kiedy przesyłać — domyślnie zaznaczona jest opcja Natychmiast dotycząca wysyłania podejrzanych plików do analizy w laboratorium firmy ESET. Jest to zalecane w przypadku korzystania ze stałego łącza internetowego, dzięki czemu podejrzane pliki mogą być dostarczane bez opóźnienia. Wybór opcji Podczas aktualizacj i spowoduje, że podejrzane pliki będą przesyłane do programu ThreatSense.Net podczas kolejnej aktualizacji. Wyłączenia — umożliwia wykluczenie określonych plików i folderów z przesyłania. Warto na przykład wyłączyć pliki, które mogą zawierać poufne informacje, takie jak dokumenty lub arkusze kalkulacyjne. Najpopularniejsze typy plików należących do tej kategorii (np. DOC) są domyślnie wyłączone. Do listy wyłączonych plików można dodawać inne typy plików. Kontaktowy adres e-mail (opcj onalnie) — wraz z podejrzanymi plikami może być wysyłany adres e-mail, który będzie używany do kontaktowania się z użytkownikiem w sytuacji, gdy przeprowadzenie analizy będzie wymagało dodatkowych informacji. Należy podkreślić, że specjaliści z firmy ESET kontaktują się z użytkownikiem tylko w szczególnych przypadkach. 4.11.2 Statystyki System monitorowania zagrożeń ThreatSense.Net gromadzi anonimowe informacje o komputerze użytkownika dotyczące nowo wykrytych zagrożeń. Mogą one obejmować nazwę infekcji, datę i godzinę jej wykrycia, numer wersji programu zabezpieczającego firmy ESET, wersję systemu operacyjnego oraz ustawienia regionalne. Zazwyczaj statystyka jest wysyłana do serwerów firmy ESET raz lub dwa razy dziennie. Poniżej przedstawiono przykład wysyłanego pakietu danych statystycznych: # # # # # # # # # utc_time=2005-04-14 07:21:28 country="Slovakia" language="ENGLISH" osver=5.1.2600 NT engine=5417 components=2.50.2 moduleid=0x4e4f4d41 filesize=28368 filename=C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8NS7\rdgFR1 Kiedy przesyłać — użytkownik może sam określić termin wysyłania danych statystycznych. Po wybraniu opcji Jak naj szybciej informacje statystyczne będą wysyłane natychmiast po ich utworzeniu. To ustawienie jest odpowiednie przy korzystaniu ze stałego łącza internetowego. W przypadku zaznaczenia opcji Podczas aktualizacj i wszystkie informacje statystyczne będą wysyłane w trakcie pierwszej aktualizacji przypadającej po ich zgromadzeniu. 133 4.11.3 Przesyłanie Użytkownik może wybrać sposób przesyłania plików i informacji statystycznych do firmy ESET. Jeśli pliki i dane statystyczne mają być przesyłane wszystkimi dostępnymi sposobami, należy zaznaczyć opcję Przy użyciu zdalnej administracj i (Remote Administrator) lub bezpośrednio do firmy ESET. Zaznaczenie jedynie opcji Przy użyciu zdalnej administracj i (Remote Administrator) spowoduje wysyłanie informacji i plików wyłącznie do serwera zdalnej administracji, skąd następnie trafią one do laboratorium firmy ESET. Jeśli zostanie zaznaczona opcja Bezpośrednio do firmy ESET, wszystkie podejrzane pliki i informacje statystyczne będą wysyłane z programu do laboratorium firmy ESET. Jeżeli istnieją pliki oczekujące na przesłanie, przycisk Prześlij teraz jest aktywny. Należy kliknąć ten przycisk, aby przesłać pliki i informacje statystyczne. Wybranie opcji Włącz zapisywanie w dzienniku spowoduje utworzenie dziennika, w którym będą rejestrowane wysyłane pliki i informacje statystyczne. 134 4.12 Administracj a zdalna Program ESET Remote Administrator (ERA) to wydajne narzędzie służące do zarządzania zasadami zabezpieczeń i pozwalające uzyskać całościowy obraz zabezpieczeń wewnątrz sieci. Jest ono szczególnie użyteczne w dużych sieciach. Narzędzie ERA nie tylko zwiększa poziom bezpieczeństwa, ale również ułatwia administrowanie programem ESET Mail Security na klienckich stacjach roboczych. Opcje ustawień administracji zdalnej są dostępne z poziomu okna głównego programu ESET Mail Security. Kliknij kolejno opcje Ustawienia > Otwórz całe drzewo ustawień zaawansowanych > Inne > Administracj a zdalna. Włącz tryb administracji zdalnej, wybierając opcję Połącz z serwerem zdalnej administracj i (Remote Administrator). Pozwoli to uzyskać dostęp do poniższych opcji: Odstęp czasu między połączeniami z serwerem (min.) — służy do określania częstotliwości nawiązywania przez program ESET Mail Security połączenia z serwerem ERA. Jeśli ta opcja zostanie ustawiona na wartość 0, informacje będą przesyłane co 5 sekund. Adres serwera — adres sieciowy serwera, na którym jest zainstalowany serwer ERA. Port: — to pole zawiera wstępnie zdefiniowany port serwera używany do nawiązywania połączenia. Zaleca się pozostawienie domyślnego ustawienia portu (2222). Serwer zdalnej administracj i (Remote Administrator) wymaga uwierzytelniania — umożliwia wprowadzenie hasła w celu nawiązania połączenia z serwerem ERA (jeśli jest to wymagane). Kliknij przycisk OK, aby potwierdzić zmiany i zastosować ustawienia. Program ESET Mail Security będzie używał tych ustawień w celu nawiązania połączenia z serwerem ERA. 135 4.13 Licencj e W gałęzi Licencj e można zarządzać kluczami licencyjnymi programu ESET Mail Security oraz innych produktów firmy ESET, na przykład ESET Mail Security itd. Po dokonaniu zakupu klucze licencyjne są dostarczane wraz z nazwą użytkownika i hasłem. Aby dodać lub usunąć klucz licencyjny, należy kliknąć odpowiedni przycisk Dodaj /Usuń w oknie menedżera licencji. Menedżer licencji jest dostępny z poziomu drzewa ustawień zaawansowanych po wybraniu kolejno opcji Inne > Licencj e. Klucz licencyjny jest plikiem tekstowym zawierającym informacje na temat zakupionego produktu, takie jak jego właściciel, liczba licencji oraz data utraty ważności. Okno menedżera licencji umożliwia użytkownikowi przekazywanie i wyświetlanie zawartości klucza licencyjnego za pomocą przycisku Dodaj — informacje zawarte w kluczu są wyświetlane w menedżerze licencji. Aby usunąć z listy pliki licencyjne, należy kliknąć przycisk Usuń. Jeśli klucz licencyjny utracił ważność, a użytkownik jest zainteresowany odnowieniem licencji, należy kliknąć przycisk Zamów, co spowoduje przekierowanie do sklepu internetowego. 136 5. Słowniczek 5.1 Typy infekcj i Infekcja oznacza atak szkodliwego oprogramowania, które usiłuje uzyskać dostęp do komputera użytkownika i (lub) uszkodzić jego zawartość. 5.1.1 Wirusy Wirus komputerowy to program, który atakuje system i uszkadza pliki znajdujące się na komputerze. Nazwa tego typu programów pochodzi od wirusów biologicznych, ponieważ stosują one podobne metody przenoszenia się z jednego komputera na drugi. Wirusy komputerowe atakują głównie pliki wykonywalne i dokumenty. W celu powielenia wirus dokleja swój kod na końcu zaatakowanego pliku. Działanie wirusa komputerowego w skrócie przedstawia się następująco. Po uruchomieniu zainfekowanego pliku wirus uaktywnia się (przed aplikacją, do której jest doklejony) i wykonuje zadanie określone przez jego twórcę. Dopiero wtedy następuje uruchomienie zaatakowanej aplikacji. Wirus nie może zainfekować komputera, dopóki użytkownik (przypadkowo lub rozmyślnie) nie uruchomi lub nie otworzy szkodliwego programu. Wirusy komputerowe różnią się pod względem odgrywanej roli i stopnia stwarzanego zagrożenia. Niektóre z nich są bardzo niebezpieczne, ponieważ mogą celowo usuwać pliki z dysku twardego. Część wirusów nie powoduje natomiast żadnych szkód — celem ich działania jest tylko zirytowanie użytkownika i zademonstrowanie umiejętności programistycznych ich twórców. Warto zauważyć, że w porównaniu z końmi trojańskimi lub oprogramowaniem spyware wirusy stają się coraz rzadsze, ponieważ nie przynoszą autorom żadnych dochodów. Ponadto termin „wirus” jest często błędnie używany w odniesieniu do wszystkich typów programów infekujących system. Taka interpretacja powoli jednak zanika i stosowane jest nowe, ściślejsze określenie „szkodliwe oprogramowanie”. Jeśli komputer został zaatakowany przez wirusa, konieczne jest przywrócenie zainfekowanych plików do pierwotnego stanu, czyli wyleczenie ich przy użyciu programu antywirusowego. Przykłady wirusów: OneHalf, Tenga i Yankee Doodle. 5.1.2 Robaki Robak komputerowy jest programem zawierającym szkodliwy kod, który atakuje hosty. Robaki rozprzestrzeniają się za pośrednictwem sieci. Podstawowa różnica między wirusem a robakiem polega na tym, że ten ostatni potrafi samodzielnie powielać się i przenosić — nie musi w tym celu korzystać z plików nosicieli ani sektorów rozruchowych dysku. Robaki rozpowszechniają się przy użyciu adresów e-mail z listy kontaktów oraz wykorzystują luki w zabezpieczeniach aplikacji sieciowych. Robaki są przez to znacznie bardziej żywotne niż wirusy komputerowe. Ze względu na powszechność dostępu do Internetu mogą one rozprzestrzenić się na całym świecie w ciągu kilku godzin po opublikowaniu, a w niektórych przypadkach nawet w ciągu kilku minut. Możliwość szybkiego i niezależnego powielania się powoduje, że są one znacznie groźniejsze niż inne rodzaje szkodliwego oprogramowania. Robak uaktywniony w systemie może być przyczyną wielu niedogodności: może usuwać pliki, obniżać wydajność komputera, a nawet blokować działanie programów. Natura robaka komputerowego predestynuje go do stosowania w charakterze „środka transportu” dla innych typów szkodliwego oprogramowania. Jeśli komputer został zainfekowany przez robaka, zaleca się usunięcie zainfekowanych plików, ponieważ prawdopodobnie zawierają one szkodliwy kod. Przykłady znanych robaków:: Lovsan/Blaster, Stration/Warezov, Bagle i Netsky. 137 5.1.3 Konie troj ańskie Komputerowe konie trojańskie uznawano dotychczas za klasę wirusów, które udają pożyteczne programy, aby skłonić użytkownika do ich uruchomienia. Należy jednak koniecznie zauważyć, że było to prawdziwe w odniesieniu do koni trojańskich starej daty — obecnie nie muszą już one ukrywać swojej prawdziwej natury. Ich jedynym celem jest jak najłatwiejsze przeniknięcie do systemu i wyrządzenie w nim szkód. Określenie „koń trojański” stało się bardzo ogólnym terminem używanym w odniesieniu do każdego wirusa, którego nie można zaliczyć do infekcji innego typu. W związku z tym, że jest to bardzo pojemna kategoria, dzieli się ją często na wiele podkategorii: Program pobieraj ący (ang. downloader) — szkodliwy program, który potrafi pobierać inne wirusy z Internetu. Program zakażaj ący (ang. dropper) — rodzaj konia trojańskiego, którego działanie polega na umieszczaniu na zaatakowanych komputerach szkodliwego oprogramowania innych typów. Program otwieraj ący furtki (ang. backdoor) — aplikacja, która komunikuje się ze zdalnymi intruzami, umożliwiając im uzyskanie dostępu do systemu i przejęcie nad nim kontroli. Program rej estruj ący znaki wprowadzane na klawiaturze (ang. keylogger, keystroke logger) — program, który rejestruje znaki wprowadzone przez użytkownika i wysyła informacje o nich zdalnym intruzom. Program nawiązuj ący kosztowne połączenia (ang. dialer) — program mający na celu nawiązywanie połączeń z kosztownymi numerami telefonicznymi. Zauważenie przez użytkownika nowego połączenia jest prawie niemożliwe. Programy takie mogą przynosić straty tylko użytkownikom modemów telefonicznych, które nie są już powszechnie używane. Konie trojańskie występują zwykle w postaci plików wykonywalnych z rozszerzeniem EXE. Jeśli na komputerze zostanie wykryty plik uznany za konia trojańskiego, zaleca się jego usunięcie, ponieważ najprawdopodobniej zawiera szkodliwy kod. Przykłady popularnych koni troj ańskich: NetBus, Trojandownloader. Small.ZL, Slapper 5.1.4 Programy typu rootkit Programy typu rootkit są szkodliwymi aplikacjami, które przyznają internetowym intruzom nieograniczony dostęp do systemu operacyjnego, ukrywając zarazem ich obecność. Po uzyskaniu dostępu do komputera (zwykle z wykorzystaniem luki w jego zabezpieczeniach) programy typu rootkit używają funkcji systemu operacyjnego, aby uniknąć wykrycia przez oprogramowanie antywirusowe: ukrywają procesy, pliki i dane w rejestrze systemu Windows. Z tego powodu wykrycie ich przy użyciu zwykłych technik testowania jest prawie niemożliwe. Wykrywanie programów typu rootkit odbywa się na dwóch poziomach: 1) Podczas próby uzyskania przez nie dostępu do systemu. Nie są one jeszcze w nim obecne, a zatem są nieaktywne. Większość aplikacji antywirusowych potrafi wyeliminować programy typu rootkit na tym poziomie (przy założeniu, że rozpoznają takie pliki jako zainfekowane). 2) Gdy są niewidoczne dla zwykłych narzędzi testowych. W programie ESET Mail Security zastosowano technologię Anti-Stealth, która potrafi wykrywać i usuwać także aktywne programy typu rootkit. 5.1.5 Adware Oprogramowanie adware to oprogramowanie utrzymywane z reklam. Do tej kategorii zaliczane są programy wyświetlające treści reklamowe. Takie aplikacje często automatycznie otwierają okienka wyskakujące z reklamami lub zmieniają stronę główną w przeglądarce internetowej. Oprogramowanie adware jest często dołączane do bezpłatnych programów, dzięki czemu ich autorzy mogą pokryć koszty tworzenia tych (zazwyczaj użytecznych) aplikacji. Oprogramowanie adware samo w sobie nie jest niebezpieczne — użytkownikom mogą jedynie przeszkadzać wyświetlane reklamy. Niebezpieczeństwo związane z oprogramowaniem adware polega jednak na tym, że może ono zawierać funkcje śledzące (podobnie jak oprogramowanie spyware). Jeśli użytkownik zdecyduje się użyć bezpłatnego oprogramowania, powinien zwrócić szczególną uwagę na jego program instalacyjny. Podczas instalacji zazwyczaj jest wyświetlane powiadomienie o instalowaniu dodatkowych programów adware. Często jest dostępna opcja umożliwiająca anulowanie instalacji programu adware i zainstalowanie programu głównego bez dołączonego oprogramowania tego typu. 138 W niektórych przypadkach zainstalowanie programu bez dołączonego oprogramowania adware jest niemożliwe lub powoduje ograniczenie funkcjonalności. Dzięki temu oprogramowanie adware może zostać zainstalowane w systemie w sposób legalny, ponieważ użytkownik wyraża na to zgodę. W takim przypadku należy kierować się względami bezpieczeństwa. Jeśli na komputerze wykryto plik rozpoznany jako oprogramowanie adware, zaleca się jego usunięcie, ponieważ zachodzi duże prawdopodobieństwo, że zawiera on szkodliwy kod. 5.1.6 Spyware Do tej kategorii należą wszystkie aplikacje, które przesyłają prywatne informacje bez zgody i wiedzy użytkownika. Korzystają one z funkcji śledzących do wysyłania różnych danych statystycznych, na przykład listy odwiedzonych witryn internetowych, adresów e-mail z listy kontaktów użytkownika lub listy znaków wprowadzanych za pomocą klawiatury. Twórcy oprogramowania spyware twierdzą, że te techniki mają na celu uzyskanie pełniejszych informacji o potrzebach i zainteresowaniach użytkowników oraz umożliwiają trafniejsze kierowanie reklam do odbiorców. Problem polega jednak na tym, że nie ma wyraźnego rozgraniczenia między pożytecznymi a szkodliwymi aplikacjami i nikt nie może mieć pewności, czy gromadzone informacje nie zostaną wykorzystane w niedozwolony sposób. Dane pozyskiwane przez spyware mogą obejmować kody bezpieczeństwa, kody PIN, numery kont bankowych itd. Aplikacja spyware jest często umieszczana w bezpłatnej wersji programu przez jego autora w celu uzyskania środków pieniężnych lub zachęcenia użytkownika do nabycia wersji komercyjnej. Nierzadko użytkownicy są podczas instalacji programu informowani o obecności oprogramowania spyware, co ma ich skłonić do zakupu pozbawionej go wersji płatnej. Przykładami popularnych bezpłatnych produktów, do których dołączone jest takie oprogramowanie, są aplikacje klienckie sieci P2P (ang. peer-to-peer). Programy Spyfalcon i Spy Sheriff (oraz wiele innych) należą do szczególnej podkategorii oprogramowania spyware. Wydają się zapewniać przed nim ochronę, ale w rzeczywistości same są takimi programami. Jeśli na komputerze zostanie wykryty plik rozpoznany jako spyware, zaleca się jego usunięcie, ponieważ z dużym prawdopodobieństwem zawiera on szkodliwy kod. 5.1.7 Potencj alnie niebezpieczne aplikacj e Istnieje wiele legalnych programów, które ułatwiają administrowanie komputerami połączonymi w sieć. Jednak w niewłaściwych rękach mogą one zostać użyte do wyrządzania szkód. Program ESET Mail Security zawiera narzędzia pozwalające wykrywać takie zagrożenia. Do „potencjalnie niebezpiecznych aplikacji” zaliczane są niektóre legalne programy komercyjne. Są to m.in. narzędzia do dostępu zdalnego, programy do łamania haseł i programy rejestrujące znaki wprowadzane na klawiaturze 138 . W przypadku wykrycia działającej na komputerze potencjalnie niebezpiecznej aplikacji, która nie została zainstalowana świadomie przez użytkownika, należy skonsultować się z administratorem sieci lub usunąć ją. 5.1.8 Potencj alnie niepożądane aplikacj e Aplikacje potencjalnie niepożądane nie musiały być świadomie projektowane w złych intencjach, ale ich stosowanie może w jakimś stopniu obniżać wydajność komputera. Zainstalowanie takiej aplikacji zazwyczaj wymaga zgody użytkownika. Po zainstalowaniu programu z tej kategorii działanie systemu jest inne niż przed instalacją. Najbardziej mogą się rzucać w oczy następujące zmiany: Otwieranie nowych, nieznanych okien Aktywacja i uruchamianie ukrytych procesów Zwiększone wykorzystanie zasobów systemowych Zmiany w wynikach wyszukiwania Komunikacja aplikacji z serwerami zdalnymi 139 5.2 Poczta e-mail Poczta e-mail, czyli poczta elektroniczna, to nowoczesna forma komunikacji oferująca wiele korzyści. Umożliwia szybką, elastyczną i bezpośrednią komunikację, a ponadto odegrała kluczową rolę w rozpowszechnianiu Internetu we wczesnych latach 90. ubiegłego wieku. Niestety wysoki poziom anonimowości podczas korzystania z poczty e-mail i Internetu pozostawia obszar dla nielegalnych działań, na przykład rozsyłania spamu. Spam można podzielić na niechciane reklamy, fałszywe alarmy oraz wiadomości rozpowszechniające szkodliwe oprogramowanie. Zagrożenie dla użytkownika jest tym większe, że koszty wysyłania wiadomości są znikome, a autorzy spamu mają dostęp do wielu narzędzi i źródeł udostępniających nowe adresy e-mail. Dodatkowo objętość i różnorodność spamu bardzo utrudniają jego kontrolę. Im dłużej jest używany dany adres e-mail, tym większe jest prawdopodobieństwo, że znajdzie się on w bazie danych mechanizmu wysyłającego spam. Oto kilka wskazówek zapobiegawczych: Jeśli to możliwe, nie publikuj swojego adresu e-mail w Internecie. Informuj o swoim adresie e-mail tylko zaufane osoby. W miarę możliwości nie używaj popularnych aliasów — bardziej skomplikowane aliasy zmniejszają prawdopodobieństwo śledzenia. Nie odpowiadaj na spam, który znalazł się w skrzynce odbiorczej. Zachowuj ostrożność podczas wypełniania formularzy internetowych. Zwracaj szczególną uwagę na opcje typu „Tak, chcę otrzymywać informacje dotyczące...”. Używaj „wyspecjalizowanych” adresów e-mail, na przykład innego w pracy, innego do komunikacji ze znajomymi itd. Od czasu do czasu zmieniaj adres e-mail. Używaj rozwiązania antyspamowego. 5.2.1 Reklamy Reklama internetowa jest jedną z najszybciej rozwijających się form działalności reklamowej. Główne zalety marketingowe reklamy tego typu to znikome koszty oraz bezpośrednie, niemal natychmiastowe przekazywanie wiadomości. Wiele firm stosuje narzędzia marketingowe związane z pocztą e-mail w celu skutecznej komunikacji z obecnymi i potencjalnymi klientami. Ten sposób reklamy jest pożądany, ponieważ użytkownicy mogą być zainteresowani otrzymywaniem informacji handlowych na temat określonych produktów. Wiele firm wysyła jednak dużą liczbę niepożądanych wiadomości o treści handlowej. W takich przypadkach reklama za pośrednictwem poczty e-mail wykracza poza dopuszczalne granice i staje się spamem. Niepożądane wiadomości e-mail stanowią rzeczywisty problem, a ich liczba niestety nie maleje. Autorzy niepożądanych wiadomości e-mail próbują często stworzyć pozory, że przesyłany przez nich spam jest pożądany. 5.2.2 Fałszywe alarmy Fałszywy alarm to nieprawdziwa wiadomość przesyłana przez Internet. Fałszywe alarmy są zwykle rozsyłane za pośrednictwem poczty e-mail lub narzędzi komunikacyjnych, takich jak Gadu-Gadu i Skype. Sama wiadomość to często żart lub plotka. Fałszywe alarmy dotyczące wirusów komputerowych mają na celu wzbudzanie w odbiorcach strachu, niepewności i wątpliwości. Mają oni wierzyć, że istnieje „niewykrywalny wirus” usuwający pliki i pobierający hasła lub wykonujący w ich systemie jakieś inne szkodliwe działania. Niektóre fałszywe alarmy zawierają prośbę do odbiorcy o przekazanie wiadomości wszystkim osobom z jego książki adresowej, co sprzyja dalszemu rozprzestrzenianiu się alarmu. Istnieją fałszywe alarmy na telefony komórkowe, a także spreparowane prośby o pomoc, informacje o ludziach oferujących wysłanie pieniędzy z zagranicy itd. W większości przypadków nie sposób określić intencji twórcy. Wiadomość z prośbą o przekazanie jej do wszystkich znajomych z dużym prawdopodobieństwem jest takim fałszywym alarmem. W Internecie dostępnych jest wiele witryn, w których można zweryfikować prawdziwość 140 wiadomości e-mail. Przed przekazaniem dalej wiadomości, która jest podejrzana, dobrze jest zweryfikować ją w Internecie. 5.2.3 Ataki typu „phishing” Terminem „phishing” określa się działania przestępcze obejmujące stosowanie socjotechnik (manipulowanie użytkownikami w celu uzyskania poufnych informacji). Działania takie są podejmowane z myślą o uzyskaniu dostępu do prywatnych danych, na przykład numerów kont bankowych, kodów PIN itp. Dostęp jest zwykle uzyskiwany w wyniku podszycia się pod osobę lub firmę godną zaufania (np. instytucję finansową, towarzystwo ubezpieczeniowe) w spreparowanej wiadomości e-mail. Wiadomość taka jest łudząco podobna do oryginalnej, ponieważ zawiera materiały graficzne i tekstowe mogące pochodzić ze źródła, pod które podszywa się nadawca. W tego typu wiadomości znajduje się prośba o wprowadzenie (pod dowolnym pretekstem, np. weryfikacji danych, operacji finansowych) pewnych danych osobowych — numerów kont bankowych lub nazw użytkownika i haseł. Wszystkie dane tego typu mogą zostać po wysłaniu bez trudu przechwycone i wykorzystane do działań na szkodę użytkownika. Banki, towarzystwa ubezpieczeniowe i inne wiarygodne firmy nigdy nie proszą o podanie nazwy użytkownika i hasła w wiadomościach e-mail przesyłanych bez uprzedzenia. 5.2.4 Rozpoznawanie spamu W identyfikacji spamu (niepożądanych wiadomości e-mail) w skrzynce pocztowej może pomóc kilka oznak. Jeśli wiadomość spełnia przynajmniej niektóre z następujących kryteriów, jest to najprawdopodobniej spam: Adres nadawcy nie należy do nikogo z listy kontaktów. Wiadomość zawiera ofertę uzyskania dużej sumy pieniędzy pod warunkiem uprzedniego wpłacenia małej kwoty. Wiadomość zawiera prośbę o wprowadzenie danych osobistych (takich jak numery kont bankowych, nazwy użytkowników i hasła) pod różnymi pretekstami, takimi jak weryfikacja danych czy konieczność przeprowadzenia operacji finansowych. Wiadomość jest napisana w obcym języku. Wiadomość zawiera prośbę o zakup produktu, którym użytkownik nie jest zainteresowany. W przypadku podjęcia decyzji o kupnie należy sprawdzić, czy nadawca wiadomości jest wiarygodnym dostawcą (należy skonsultować się z oryginalnym producentem produktu). Niektóre słowa zawierają literówki, aby oszukać filtr antyspamowy, na przykład „vaigra” zamiast „viagra” itp. 5.2.4.1 Reguły W przypadku modułu antyspamowego i klientów poczty e-mail reguł używa się do konfigurowania funkcji poczty elektronicznej. Reguły składają się z dwóch składników logicznych: 1) warunku (np. wiadomość przychodząca z określonego adresu); 2) działania (np. usunięcie wiadomości, przeniesienie jej do określonego folderu). Liczba i kombinacje reguł zmieniają się w zależności od programu antyspamowego. Reguły służą w nim do przeciwdziałania spamowi (niechcianym wiadomościom). Typowe przykłady: Warunek: przychodząca wiadomość e-mail zawiera pewne słowa spotykane zwykle w spamie. 2. Działanie: usunięcie wiadomości. Warunek: przychodząca wiadomość e-mail zawiera załącznik z rozszerzeniem EXE. 2. Działanie: usunięcie załącznika i dostarczenie wiadomości do skrzynki odbiorczej. Warunek: przychodząca wiadomość e-mail pochodzi od pracodawcy. 2. Działanie: przeniesienie wiadomości do folderu „Praca”. Zalecane jest stosowanie w programach antyspamowych różnych kombinacji reguł w celu ułatwienia administrowania i zwiększenia skuteczności filtrowania spamu. 141 5.2.4.2 Filtr Bayesa Filtrowanie spamu metodą Bayesa jest bardzo skuteczną formą filtrowania poczty e-mail, stosowaną prawie we wszystkich rozwiązaniach antyspamowych. Metoda ta umożliwia identyfikację niepożądanej poczty e-mail z dużą dokładnością, a przy tym można ją stosować z osobna dla każdego użytkownika. Jej działanie opiera się na następującej zasadzie. W pierwszej fazie odbywa się proces uczenia. Użytkownik ręcznie oznacza wystarczającą liczbę wiadomości e-mail jako wiarygodną pocztę lub jako spam (zazwyczaj po 200 wiadomości). Filtr analizuje obie kategorie wiadomości i wykrywa na przykład, że spam zawiera zwykle takie słowa, jak „rolex” czy „viagra”, natomiast wiarygodne wiadomości są wysyłane przez członków rodziny lub z adresów znajdujących się na liście kontaktów użytkownika. Po przetworzeniu wystarczającej liczby wiadomości filtr Bayesa może przypisać każdej z nich odpowiednią wartość „wskaźnika spamu” i określić, czy kwalifikuje się ona jako spam. Główną zaletą filtra Bayesa jest jego elastyczność. Jeśli na przykład użytkownik jest biologiem, wszystkim przychodzącym wiadomościom e-mail dotyczącym biologii lub dziedzin pokrewnych nadawany jest ogólnie niższy wskaźnik prawdopodobieństwa przynależności do spamu. Jeśli wiadomość zawiera słowa, które w zwykłych okolicznościach kwalifikują ją jako niepożądaną, ale została wysłana przez osobę z listy kontaktów, jest ona oznaczana jako wiarygodna, ponieważ fakt wysłania przez osobę z listy kontaktów ogólnie zmniejsza prawdopodobieństwo przynależności do spamu. 5.2.4.3 Biała lista Biała lista to wykaz obiektów lub osób, które uzyskały akceptację lub którym przyznano zezwolenie. Termin „biała lista poczty e-mail” oznacza listę kontaktów, od których użytkownik chce otrzymywać wiadomości. Tego typu białe listy są tworzone z wykorzystaniem słów kluczowych wyszukiwanych w adresach e-mail, nazwach domen lub adresach IP. Jeśli biała lista jest używana na zasadzie „trybu wyłączności”, korespondencja pochodząca z adresów e-mail, domen i adresów IP, które na niej figurują nie będzie odbierana. Jeśli nie jest stosowana wyłączność, takie wiadomości nie będą usuwane, a jedynie w określony sposób odfiltrowywane. Biała lista działa na odwrotnych zasadach niż czarna lista 142 . Zarządzanie białymi listami jest względnie łatwe, zwłaszcza w porównaniu z czarnymi listami. W celu skuteczniejszego odfiltrowywania spamu zalecane jest korzystanie zarówno z białej, jak i z czarnej listy. 5.2.4.4 Czarna lista W znaczeniu ogólnym czarna lista jest listą nieakceptowanych osób i zabronionych obiektów. W świecie wirtualnym jest to technika umożliwiająca odrzucanie wiadomości od wszystkich użytkowników, którzy znajdują się na takiej liście. Istnieją dwa typy czarnych list: tworzone przez użytkowników za pomocą aplikacji antyspamowych oraz dostępne w Internecie, profesjonalne, regularnie aktualizowane czarne listy sporządzane przez wyspecjalizowane instytucje. Skuteczne blokowanie spamu wymaga stosowania czarnych list, jednak są one bardzo trudne w utrzymaniu, ponieważ codziennie pojawiają się nowe obiekty, które należy blokować. W celu najefektywniejszego filtrowania spamu zalecamy korzystanie zarówno z białej listy 142 , jak i z czarnej listy. 5.2.4.5 Kontrola po stronie serwera Kontrola po stronie serwera to technika umożliwiająca identyfikację masowo rozsyłanej poczty e-mail będącej spamem na podstawie liczby otrzymanych wiadomości oraz reakcji użytkowników. Każda wiadomość pozostawia na serwerze unikatowy cyfrowy „ślad”, który zależy od jej zawartości. Taki unikatowy numer identyfikacyjny nie zawiera żadnych informacji na temat zawartości wiadomości e-mail. Dwie identyczne wiadomości zostawiają identyczne „ślady”, natomiast różne wiadomości zostawiają odmienne „ślady”. Jeśli wiadomość zostaje oznaczona jako spam, jej „ślad” jest wysyłany na serwer. Jeśli na serwerze odebranych zostanie więcej identycznych „śladów” (odpowiadających określonym wiadomościom będącym spamem), „ślad” zostaje umieszczony w bazie danych spamu. Podczas skanowania wiadomości przychodzących program wysyła ich „ślady” do serwera. Serwer zwraca informacje o „śladach” odpowiadających wiadomościom już oznaczonym przez użytkowników jako spam. 142