3. Använda enbart ESET Endpoint Security
3.9 Arbeta med ESET Endpoint Security
3.9.1 Dator
3.9.1.3 Skydd av filsystemet i realtid
Skydd av filsystemet i realtid kontrollerar alla antivirusrelaterade händelser i systemet. Alla filer genomsöks efter skadlig kod när de öppnas, skapas eller körs på datorn. Skydd av filsystemet i realtid startas vid systemstart.
Som standard startar realtidsskyddet när systemet startar och ger oavbruten genomsökning. I särskilda fall (t.ex. om det uppstår konflikt med ett annat genomsökningsprogram som arbetar i realtid) kan realtidsskyddet inaktiveras genom att avmarkera alternativet Aktivera skydd av filsystemet i realtid i Avancerade inställningar under Skydd av filsystemet i realtid > Grundläggande.
Media som ska genomsökas
Som standard kontrolleras alla mediatyper efter potentiella hot:
Lokala enheter – kontrollerar alla hårddiskar i systemet.
Flyttbara medier – styr CD/DVD, USB-enheter, Bluetooth-enheter osv.
Nätverksenheter – genomsöker alla mappade enheter.
Vi rekommenderar att du använder standardinställningarna och endast ändrar dem i speciella fall, till exempel om kontroll av vissa media gör att dataöverföring går betydligt långsammare.
Genomsök vid
Som standard genomsöks alla filer när de öppnas, skapas eller körs. Vi rekommenderar att behålla standardinställningarna eftersom de ger datorn ett maximalt realtidsskydd:
· Öppning av fil – aktiverar eller inaktiverar genomsökning när filer öppnas.
· Skapande av fil – aktiverar eller inaktiverar genomsökning när filer skapas.
· Körning av fil – aktiverar eller inaktiverar genomsökning när filer körs.
· Åtkomst till flyttbara medier – aktiverar eller inaktiverar genomsökning som utlöses av åtkomst till vissa flyttbara medier med lagringsutrymme.
Skydd av filsystemet i realtid kontrollerar alla typer av media och utlöses av olika systemhändelser som t.ex.
åtkomst till en fil. Med ThreatSense-teknikens detekteringsmetoder (beskrivs i avsnittet Parameterinställningar för ThreatSense-motorn) kan skydd av filsystemet i realtid konfigureras så att det hanterar nya filer på annat sätt än
befintliga filer. Det går till exempel att konfigurera skydd av filsystemet i realtid så att det övervakar nyskapade filer mer noga.
För att använda så lite systemresurser som möjligt under realtidsskyddet kommer filer som redan genomsökts inte att genomsökas igen (om de inte har modifierats). Filerna genomsöks igen omedelbart efter varje uppdatering av detekteringsmotorn. Detta beteende kontrolleras med Smart optimering. Om Smart optimering är inaktiverat genomsöks filerna varje gång de används. Om du vill ändra inställningen trycker du på F5 för att öppna Avancerade inställningar och klickar på Detekteringsmotor > Skydd av filsystemet i realtid. Klicka på ThreatSense-parametrar >
Annat och markera eller avmarkera Aktivera Smart optimering.
3.9.1.3.1 Ytterligare ThreatSense-parametrar
Ytterligare ThreatSense-parametrar för filer som nyligen har skapats eller ändrats – sannolikheten för att filer som nyligen skapats är infekterade är högre än för befintliga filer. Detta är orsaken till att programmet kontrollerar dessa filer med ytterligare genomsökningsparametrar. Tillsammans med vanliga signaturbaserade
genomsökningsmetoder används även avancerad heuristik som kan upptäcka nya hot innan detekteringsmotorns uppdatering ges ut. Utöver nya skapade filer, utförs genomsökning i självuppackande filer (.sfx) och internt packade filer (internt komprimerade exekverbara filer). I standardläget genomsöks arkiv upp till 10:e nästlingsnivån och kontrolleras oavsett faktisk storlek. Ändra inställningarna för genomsökning av arkiv genom att inaktivera Standardinställningar för genomsökning av arkiv.
Mer information om internt packade filer, självuppackande arkiv och avancerad heuristik finns i Parameterinställningar för ThreatSense-motorn.
Ytterligare ThreatSense-parametrar för filer som har körts – som standard används Avancerad heuristik när filer körs. När det används bör Smart optimering och ESET LiveGrid® vara aktiverade så att systemets prestanda inte påverkas lika mycket.
3.9.1.3.2 Rensningsnivåer
Realtidsskyddet har tre rensningsnivåer (öppna inställningarna för rensningsnivåer genom att klicka på Parameterinställningar för ThreatSense-motorn i avsnittet Skydd av filsystemet i realtid och klicka sedan på Rensning).
Ingen rensning – infekterade filer rensas inte automatiskt. Ett varningsfönster visas där användaren kan välja en åtgärd. Denna nivå är avsedd för mer avancerade användare som vet vilka åtgärder att vidta i händelse av infiltration.
Vanlig rensning – programmet försöker automatiskt rensa eller ta bort en infekterad fil baserat på en fördefinierad åtgärd (beroende på infiltrationstyp). När en infekterad fil identifieras och tas bort anges det i ett meddelande längst ned till höger på skärmen. Om det inte är möjligt att välja rätt åtgärd automatiskt ger programmet flera olika uppföljningsåtgärder. Samma sak händer om det inte går att utföra en fördefinierad åtgärd.
Strikt rensning – programmet rensar eller tar bort alla infekterade filer. Det enda undantaget är systemfiler. Om det inte är möjligt att rensa dem ombeds användaren att välja ett alternativ i ett varningsfönster.
VARNING!
Om ett arkiv innehåller en eller flera filer som är infekterade finns det två sätt att hantera arkivet. I standardläget (Standardrensning) tas hela arkivet bort om alla filer i arkivet är infekterade. I läget Strikt rensning tas arkivet bort om det innehåller minst en infekterad fil, oavsett status för andra filer i arkivet.
3.9.1.3.3 Kontroll av realtidsskyddet
Du kan kontrollera att realtidsskyddet fungerar och identifierar virus med hjälp av en testfil från eicar.com. Den här testfilen är en ofarlig fil som identifieras av alla antivirusprogram. Filen skapades av företaget EICAR (European Institute for Computer Antivirus Research) för test av funktionaliteten i antivirusprogram. Det går att hämta filen från http://www.eicar.org/download/eicar.com
OBS!
Innan kontroll av realtidsskyddet utförs måste brandväggen inaktiveras. Om brandväggen är aktiv identifieras filen och det går inte att hämta testfilerna. Var noga med att aktivera brandväggen igen omedelbart efter att filsystemets realtidsskydd kontrollerats.
3.9.1.3.4 Ändring av konfiguration för realtidsskydd
Realtidsskyddet av filsystemet är den viktigaste komponenten för att upprätthålla ett säkert system. Var alltid försiktig när dessa parametrar ändras. Vi rekommenderar att endast ändra dessa inställningar under vissa förutsättningar.
Efter installation av ESET Endpoint Security optimeras alla inställningar så att användarna får ett maximalt systemskydd. Om du vill återställa standardinställningarna klickar du på intill varje flik i fönstret (Avancerade inställningar > Detekteringsmotor > Skydd av filsystemet i realtid).
3.9.1.3.5 Vad gör jag om realtidsskyddet inte fungerar?
I detta kapitel beskrivs problem som kan uppstå när realtidsskyddet används och hur de felsöks.
Realtidsskyddet har inaktiverats
Om en användare har inaktiverat realtidsskyddet av misstag måste det aktiveras på nytt. Aktivera realtidsskyddet genom att navigera till Inställningar i programmets huvudfönster och klicka på avsnittet Skydd av filsystemet i realtid.
Om realtidsskyddet inte startas samtidigt som datorn startas beror det troligen på att Starta skydd av filsystemet i realtid automatiskt har avmarkerats. Om du vill aktivera det här alternativet går du till Avancerade inställningar (F5) och klickar på Detekteringsmotor > Skydd av filsystemet i realtid > Grundläggande. Se till att Starta skydd av
filsystemet i realtid automatiskt är aktiverat.
Infiltreringar identifieras och rensas inte av realtidsskyddet
Kontrollera att inga andra antivirusprogram är installerade på datorn. Om två realtidsskydd är aktiverade samtidigt kan de hamna i konflikt med varandra. Det rekommenderas att du avinstallerar alla andra antivirusprogram på datorn innan du installerar ESET.
Realtidsskyddet startar inte
Om realtidsskyddet inte startas när datorn startas (och Aktivera skydd av filsystemet i realtid har aktiverats) kan det bero på konflikter med andra program. Kontakta ESET Kundsupport om du vill ha hjälp med att lösa detta problem.
3.9.1.4 Genomsökning av datorn
Skannern utgör en viktig del av ESET Endpoint Security. Den används för att göra genomsökningar av filer och mappar på datorn. Av säkerhetsskäl är det mycket viktigt att genomsökningar av datorn inte endast utförs när en infektion misstänks, utan att de utförs regelbundet som en del av rutinåtgärder för säkerhet. Vi rekommenderar att göra regelbundna genomsökningar av systemet (exempelvis en gång i månaden) för att identifiera virus som inte upptäcks av Skydd av filsystemet i realtid. Detta kan inträffa om skydd av filsystemet i realtid är inaktiverat vid det tillfället, om detekteringsmotorn är inaktuell eller om filen inte identifieras som ett virus när den sparas till disk.
Det finns två typer av genomsökning av datorn. Smart genomsökning genomsöker datorn snabbt utan ytterligare konfiguration av genomsökningsparametrarna. Anpassad genomsökning gör det möjligt att välja en fördefinierad genomsökningsprofil och ange genomsökningsobjekt.
Se Genomsökningsförlopp för mer information om genomsökningprocessen.
Genomsök datorn
Smart genomsökning startar snabbt en genomsökning av datorn och rensa infekterade filer utan användaråtgärder.
Fördelen med smart genomsökning är att den är enkel att använda och inte kräver en noggrann konfiguration av genomsökningen. Smart genomsökning kontrollerar alla filer på alla lokala enheter och rensar eller tar bort identifierade infiltrationer. Rensningsnivån får automatiskt standardvärdet. Se Rensning om du vill ha mer information om olika typer av rensning.
Anpassad genomsökning
Anpassad genomsökning är en optimal lösning om du vill ange genomsökningsparametrar som
genomsökningsobjekt och genomsökningsmetoder. Fördelen med Anpassad genomsökning är möjligheten att konfigurera parametrarna i detalj. Konfigurationerna går att spara som användardefinierade genomsökningsprofiler som kan vara användbara om en genomsökning upprepas med samma parametrar.
Välj genomsökningsobjekt genom att välja Genomsökning av datorn > Anpassad genomsökning och välja
rullgardinsmenyn Genomsökningsobjekt eller markera specifika mål i trädstrukturen. Ett genomsökningsobjekt går att ange genom att skriva in sökvägen till mappen eller filerna som ska inkluderas. Är du endast intresserad av att söka igenom systemet utan ytterligare rensningsåtgärder väljer du Genomsök utan rensning. När du utför en
genomsökning kan du välja mellan tre rensningsnivåer genom att klicka på Inställningar... > ThreatSense-parametrar
> Rensning.
Genomsökning av datorn med Anpassad genomsökning rekommenderas för avancerade användare med tidigare erfarenhet av antivirusprogram.
Du kan även använda funktionen Genomsökning med dra och släpp för att genomsöka en fil eller mapp manuellt genom att klicka på filen eller mappen, flytta muspekaren till det markerade området med musknappen nedtryckt och sedan släppa den. Därefter flyttas programmet fram till förgrunden.
Genomsökning av flyttbara medier
Liknar Smart genomsökning – starta snabbt en genomsökning av flyttbara medier (som t.ex. CD/DVD/USB) som för tillfället är anslutna till datorn. Detta kan vara praktiskt när du ansluter en USB-flashenhet till en dator och vill genomsöka dess innehåll efter potentiell hot.
Denna typ av genomsökning går även att starta genom att klicka på Anpassad genomsökning och sedan välja Flyttbara medier på rullgardinsmenyn Genomsökningsobjekt och klicka på Genomsök.
Vi rekommenderar att utföra en genomsökning av datorn minst en gång i månaden. Det går att konfigurera genomsökning som en schemalagd aktivitet i Verktyg > Schemaläggaren.
3.9.1.4.1 Starta anpassad genomsökning
Om du bara vill genomsöka ett visst målobjekt går det att använda Anpassad genomsökning genom att klicka på Genomsökning av datorn > Anpassad genomsökning och välja ett alternativ på rullgardinsmenyn
Genomsökningsobjekt eller välja specifika målobjekt i trädstrukturen.
Fönstret med genomsökningsobjekt gör det möjligt att definiera vilka objekt (minne, enheter, sektorer, filer och mappar) som ska genomsökas efter infiltrationer. Markera målobjekt i trädstrukturen som visar alla tillgängliga enheter på datorn. I rullgardinsmenyn Genomsökningsobjekt kan du välja fördefinierade genomsökningsobjekt.
· Enligt profilinställningar – väljer mål inställda i den valda genomsökningsprofilen.
· Flyttbara media – väljer disketter, USB-enheter, CD/DVD.
· Lokala enheter – kontrollerar alla hårddiskar i systemet.
· Nätverksenheter – genomsöker alla mappade nätverksenheter.
· Ingen markering – avbryter alla val.
Ange ett mål i det tomma fältet under mapplistan om du snabbt vill navigera till ett målobjekt eller lägga till en målmapp eller målfil/målfiler. Detta är endast möjligt om inga mål markerats i trädstrukturen och menyn Genomsökningsobjekt är inställd på Ingen markering.
Infekterade objekt rensas inte automatiskt. En genomsökning utan rensning ger dig en översikt över aktuell skyddsstatus. Det går dessutom att ange en av tre rensningsnivåer genom att klicka på Avancerade inställningar >
Detekteringsmotor > Genomsökning på begäran > ThreatSense-parametrar > Rensning. Är du endast intresserad av att söka igenom systemet utan ytterligare rensningsåtgärder väljer du Genomsök utan rensning.
Genomsökningshistoriken sparas i genomsökningsloggen.
När Ignorera undantag väljs genomsöks filerna med ändelser som tidigare undantogs från genomsökning utan undantag.
Det går att välja en profil på rullgardinsmenyn Genomsökningsprofil som används till genomsökning av valda målobjekt. Standardprofilen är Smart genomsökning. Det finns ytterligare två fördefinierade
genomsökningsprofiler kallade Djup genomsökning och Genomsökning med kontextmeny. Dessa
genomsökningsprofiler använder olika ThreatSense-parametrar. De tillgängliga alternativen beskrivs i Avancerade inställningar > Detekteringsmotor > Genomsökningar efter skadlig kod > Genomsökning på begäran > ThreatSense-parametrar.
Klicka på Genomsökning för att köra genomsökningen med inställda anpassade parametrar.
Genomsök som administratör gör det möjligt att utföra genomsökningen med administratörskontot. Klicka här om den aktuella användaren inte har tillräcklig behörighet till filerna som ska genomsökas. Observera att den här knappen inte är tillgänglig om den aktuella användaren inte kan anropa UAC-åtgärder som administratör.
OBS!
Du kan visa loggen för genomsökning av datorn när en genomsökning är klar genom att klicka på Visa logg.
3.9.1.4.2 Genomsökningsförlopp
Fönstret genomsökningsförlopp visar aktuell status för genomsökningen och information om antalet filer som innehåller skadlig kod.
OBS!
Det är normalt att en del filer, som lösenordsskyddade filer eller filer som endast används av systemet (typiskt pagef ile.sys och vissa loggfiler) inte går att genomsöka.
Genomsökningsförlopp – förloppsindikatorn visar statusen för genomsökta objekt i förhållande till det totala antal objekt som väntar på genomsökning. Genomsökningsförloppets status hämtas från det totala antalet objekt i genomsökningen.
Mål – namn på det objekt som skannas just nu och dess plats.
Upptäckta hot – visar det totala antalet hot som hittats under en genomsökning.
Pausa – pausar genomsökningen.
Fortsätt – detta alternativ visas när genomsökningen pausas. Klicka på Fortsätt för att fortsätta genomsökningen.
Stopp – avbryter genomsökningen.
Bläddra i genomsökningsloggen – om aktiverad bläddrar genomsökningsloggen ned automatiskt när nya poster läggs
3.9.1.4.3 Logg för genomsökning av datorn
Loggen för genomsökning av datorn innehåller allmän information om genomsökningen, som till exempel:
· Version av detekteringsmotor
· Datum och tid för genomsökningen
· Genomsökta enheter, mappar och filer
· Antal genomsökta objekt
· Antal hittade hot
· Tid vid slutförande
· Total tid för genomsökning