ESET Mail Security for Microsoft Exchange Server

Size: px

Start display at page:

Download "ESET Mail Security for Microsoft Exchange Server"

路金
5 years ago
Views:

1 ESET MAIL SECURITY 适用于MICROSOFT EXCHANGE SERVER 安装手册和用户指南 Microsoft Windows Server 2003 / 2003 R2 / 2008 / 2008 R2 / 2012 / 2012 R2 / 2016 单击此处显示此文档的联机帮助版本

2 ESET MAIL SECURITY 版权所有 2018 ESET, spol s ro ESET Ma i l Securi ty 由 ESET, s pol s ro 开发有关更多信息请访问 wwwes etcom 保留所有权利未经作者书面同意本文档的任何部分均不得复制存入检索系统或以任何形式或任何方式传播包括电子的机械的影印记录扫描或其他方式 ESET, s pol s ro 保留未经事先通知即更改任何所述应用程序软件的权利客户服务 wwwes etcom/s upport 修订日期 2018/4/18

3 目录 6 1 介绍 1 1 新功能帮助页面使用的方法邮箱数据库防护邮件传输防护手动数据库扫描防护类型病毒防护反垃圾邮件防护规则用户界面 ESET Shell 用法命令批处理文件脚本 ESET SysInspec tor 创建计算机状态快照 ESET SysResc ue Liv e 计划任务计划任务添加任务提交样本以供分析可疑文件可疑站点误报文件误报站点其他隔离 1 6 系统需求 ESET Mail Sec urity 功能和 Exc hange 帮助和支持 Serv er 角色 Exc hange Serv er 角色 Edge 或 Hub 帮助主题如何 1 7 通过 ESET Remote Administrator 托管 15 更新 ESET Mail Sec urity 如何覆盖激活 ESET Mail Sec urity 模式 ESET Mail Sec urity 如何计算邮箱数 21 2 安装如何在计划任务中创建新任务如何计划扫描任务每 24 小时 2 1 ESET Mail Sec urity 安装步骤如何从服务器中删除病毒命令行安装提交支持请求在群集环境中安装 ESET 专用清理器 2 2 产品激活关于 ESET Mail Sec urity 2 3 ESET AV Remov er 产品激活注册 2 4 POP3 连接器和反垃圾邮件安全激管理员活 2 5 升级到新版本激活失败通过 ERA 升级许可证通过 ESET 群集升级激活进度成功激活指南 39 3 入门 3 1 监视 ESET Mail Security 93 4 使用 3 2 日志文件服务器扫描日志服务器代理优先级设置 3 3 扫描修改优先级 Hyper-V 服务扫描 46 器代理优先级设置病毒和间谍软件防护 3 4 邮件隔离反垃圾邮件防护已隔离邮件详细信息过滤和验证 3 5 更新高级设置设置病毒库更新灰名单设置配置代理服务器进行更新 SPF 和 DKIM 3 6 设置规则服务器规则列表计算机规则向导工具规则条件导入和导出设置规则操作 3 7 工具邮件传输防护运行高级进程 61 设置查看邮活动 62 箱数据库防护时段手选择 63 动数据库扫描防护其他统计 63 邮箱项目集群代理 64 服务器群集数据向导第 1 页 66 库扫描帐户详细信息群集邮向导第 2 页 67 件隔离群集本地向导第 3 页 68 隔离群集文件存向导第 4 页 70 储

4 计算机 W eb 界面隔离邮箱和 MS Exc hange 隔离隔离区管理器设置代理服务器隔离管理器帐户详细信息 Outlook Express 和确认对话框重新扫描邮件 W eb 访问保护基本 URL 地址管理新建列表地址列表网络钓鱼防护 W indows Mail 工具栏 129 检测到渗透 130 进程排除 131 自动排除 131 共控制享的本地缓存设备文设件系统实时防护 132 备控制规则编辑器排除添 133 加设备控制规则添加或检编辑排除 135 测的设备排除格设式 136 备组 T hreatsense 参数工具不扫描的文件扩展名 ESET Liv egrid 其他 T hreatsense 参数排除过滤器清除级别 Mic rosoft W indows 更新何时修改实时防护配置 ESET CMD 检查实时防护 W MI 提供程序实时防护不工作时如何应对提供的数据提交访问提供的数据统计信息 ERA 扫描目标可疑文件日志文件手动计算机扫描和 Hyper-V 扫描日志过滤自定义扫描和 Hyper-V 扫描启动程序在日志中查找扫描进度代理服务器配置文件管理器电子邮件通知扫描目标邮件格式暂停计划扫描演示模式空闲状态下扫描诊断开机扫描客户服务自动启动文件检查集群可移动磁盘用户界面文档防护警报和通知 HIPS 访问设置 HIPS 规则密码 HIPS 规则设置密码设置高级设置帮助始终允许加载驱动程序 ESET Shell 4 3 更新在终端服务器上禁用 GUI 更新回滚已禁用消息和状态更新模式确认消息 HT T P 代理应用程序状态设置用以下身份连接到局域网系统托盘图标镜像暂停防护从镜像更新右键菜单镜像文件恢复此部分中的所有设置镜像更新问题故障排除恢复为默认设置 4 4 W eb 和电子邮件 163 任务协议过滤计划任务详细信息排除的应用程序任务计时一次排除的 IP 地址任务计时 Web 和电子邮件客户端任务计时每天 SSL/ T LS 任务计时每周加密的 SSL 通信任务计时由事件触发已知证书列表任务详细信息运行应用程序电子邮件客户端防护任务详细信息发送邮件隔离报告电子邮件协议跳过的任务警报和通知计划任务概述 MS Outlook 工具栏

5 目录计划任务后台扫描 205 更新配置文件隔离隔离文件从隔离区恢复提交隔离区中的文件操作系统更新词汇表 5 1 渗透类型病毒蠕虫木马 Rootk it 广告软件僵尸网络勒索软件间谍软件加壳程序漏洞利用阻止程序高级内存扫描程序潜在的不安全应用程序潜在的不受欢迎应用程序 5 2 电子邮件广告恶作剧欺诈识别垃圾邮件欺骗规则白名单黑名单服务器端控制

6 1 介绍 ESET Mail Security 6 for Microsoft Exchange Server 是一种集成的解决方案它保护邮箱不受各种类型的恶意内容的侵害包括被蠕虫或木马感染的电子邮件附件包含有害脚本的文档欺诈邮件和垃圾邮件 ESET Mail Security 提供三种类型的防护病毒防护反垃圾邮件和用户定义的规则 ESET Mail Security 在恶意内容到达收件人的电子邮件客户端邮箱之前在邮件服务器级别上过滤恶意内容 ESET Mail Security 支持 Microsoft Exchange Server 版本 2003 及更高版本以及群集环境中的 Microsoft Exchange Server 在较新的版本 Microsoft Exchange Server 2003 及更高版本中还支持特定角色 mailbox hub 和 edge 您可以在 ESET Remote Administrator 的帮助下远程管理大型网络中的 ESET Mail Security 在提供 Microsoft Exchange Server 防护的同时 ESET Mail Security 还包括各种工具以确保服务器本身的防护常驻防护 Web 访问保护和电子邮件客户端防护 11 新功能邮件隔离管理器 - 管理员可以检查此存储区内的对象并决定是删除还是发布这些对象此功能对由传输代理隔离的电子邮件提供简单的管理邮件隔离 Web 界面 - 基于 Web 的邮件隔离管理器的替代项反垃圾邮件 - 已对此重要组件进行了重大的重新设计现在使用性能有所改进的全新获奖引擎使用 SPF DKIM 和 DMARC 验证邮件手动数据库扫描 - 手动数据库扫描程序使用 EWS (Exchange Web Services) API 通过 HTTP/HTTPS 连接到 Microsoft Exchange Server 另外该扫描程序会运行并行扫描来提高性能规则 - 规则菜单项允许管理员手动定义电子邮件过滤条件和对过滤的电子邮件采取的操作已对最新版的 ESET Mail Security 中的规则进行了重新设计以便向用户更灵活地提供更多可能性 ESET 群集 - 类似于 ESET File Security 6 for Microsoft Windows Server 由于可以将一个配置策略分发给所有的群集成员因此将工作站加入节点将提供额外的自动管理群集本身可以使用已安装的节点进行创建然后可以远程安装和启动所有节点 ESET Server 产品可以相互通信和交换数据例如配置和通知并且可以同步灰名单数据库以及同步正确操作产品实例组所需的数据这使产品的同一配置可以用于群集的所有成员 ESET Mail Security 支持 Windows 故障转移群集和网络负载平衡 (NLB) 群集此外您可以手动添加 ESET 群集成员而不需要特定的 Windows 群集 ESET 群集可在域环境和工作组环境中使用存储扫描 - 扫描本地服务器上的所有共享文件这样更容易有选择地仅扫描存储在文件服务器上的用户数据基于组件的安装 - 选择要添加或删除的组件进程排除 - 从病毒防护访问扫描中排除特定进程由于专用服务器应用程序服务器存储服务器等的角色至关重要因此强制执行定期备份以确保能够从各种类型的致命事件中及时恢复为了提高备份速度进程完整性和服务可用性在备份期间使用了某些已知会与文件级别病毒防护产生冲突的技术尝试实时迁移虚拟机时可能会发生类似问题唯一可以避免这两种情况的有效方法是停用病毒防护软件通过排除特定进程例如备份解决方案的进程系统将忽略所有归于此类排除进程的文件操作并将其视为安全操作从而最大程度地减少对备份进程的干预我们建议您在创建排除时请小心已排除的备份工具可以访问受感染的文件而不会触发警报这就是为什么只允许在实时防护模块中使用扩展权限 eshell (ESET Shell) - 现在 ESET Mail Security 中可以使用 eshell 20 eshell 是命令行界面该界面向高级用户和管理员提供更全面的选项来管理 ESET Server 产品 Hyper-V 扫描 - 是一项新技术该技术允许扫描 Microsoft Hyper-V Server 上的虚拟机 (VM) 磁盘而无需使用特定虚拟机上的任何服务器代理更好地与 ESET Remote Administrator 集成包括计划手动扫描的功能 6

12 帮助页面本指南将帮助您充分利用 ESET Mail Security 若要了解有关程序中任意窗口的详细信息请在打开给定窗口时按下键盘上的 F1 将显示与当前查看的窗口相关的帮助页面为了获取一致性并帮助避免混淆整个指南中使用的术语均基于 ESET Mail Security 参数名称我们还使用了一组统一符号来突出显示特定关注内容或重要内容的主题注释只是一个简短的意见

7 12 帮助页面本指南将帮助您充分利用 ESET Mail Security 若要了解有关程序中任意窗口的详细信息请在打开给定窗口时按下键盘上的 F1 将显示与当前查看的窗口相关的帮助页面为了获取一致性并帮助避免混淆整个指南中使用的术语均基于 ESET Mail Security 参数名称我们还使用了一组统一符号来突出显示特定关注内容或重要内容的主题注释只是一个简短的意见尽管您可以忽略它但注释可以提供有价值的信息例如特定功能或指向某些相关主题的链接重要信息需要您到它不建议跳过重要说明包括重要但非关键的信息警告您应格外的关键信息警告专门用于防止您犯潜在有害的错误请阅读并了解警告中包含的文本因为它引用了高度敏感的系统设置或有风险的内容示例这是一个用例或实用示例旨在帮助您了解如何使用某个功能或特性约定含义粗体类型界面项目的名称例如框和选项按钮斜体类型您提供信息的占位符例如文件名或路径表示您键入实际路径或文件名宋体代码示例或命令超链接支持快速轻松地访问交叉引用的主题或外部 Web 位置超链接以蓝色突出显示可能带有下划线 %ProgramFiles% 可存储 Windows 已安装程序和其他程序的 Windows 系统目录本指南中的主题分为几个章节和子章节您可以通过浏览帮助页面的内容来查找相关信息此外您可以使用索引按关键字进行浏览或使用全文搜索 ESET Mail Security 使您能够按关键字搜索帮助主题或通过在用户指南中键入要搜索的字词或短语来搜索帮助主题这两种方法的区别在于关键字可能与文本中不包含该特定关键字的帮助页面在逻辑上相关按字词 7

8 搜索将搜索所有页面的内容并仅显示实际文字中包含所搜索字词的页面您可以对帮助中的某个特定主题发布评价和或提供相关反馈单击此信息有用吗链接或对本文进行评价有用/没用例如帮助页面下的 ESET 知识库 13 使用的方法使用以下三种方法扫描电子邮件邮箱数据库防护 - 以前称为通过 VSAPI 的邮箱扫描此类防护仅适用于以邮箱服务器 Microsoft Exchange 2010 和 2007 或后端服务器 (Microsoft Exchange 2003) 角色运行的 Microsoft Exchange Server 和 2003 此类扫描可以在一台计算机上安装有多个 Exchange Server 角色的单个服务器上执行只要包括邮箱和后端角色即可邮箱数据库防护不适用于 Microsoft Exchange Server 2013 和 2016 邮件传输防护 - 以前称为 SMTP 服务器级别上的邮件过滤此防护由传输代理提供并且仅适用于以 Edge 传输服务器或 Hub 传输服务器角色运行的 Microsoft Exchange Server 2003 或更高版本此类扫描可以在一台计算机上安装有多个 Exchange Server 角色的单个服务器上执行只要包括其中一个提及的服务器角色即可手动数据库扫描 - 允许您执行或计划 Exchange 邮箱数据库扫描此功能仅适用于以邮箱服务器或 Hub 传输角色运行的 Microsoft Exchange Server 2007 或更高版本这也应用于一台计算机上安装有多个 Exchange Server 角色的单个服务器只要包括其中一个提及的服务器角色即可若要进行全面查看请参阅 ESET Mail Security 功能和 Microsoft Exchange Server 版本及其角色的阵列 131 邮箱数据库防护邮箱扫描过程由 Microsoft Exchange Server 触发和控制 Microsoft Exchange Server 存储数据库中的电子邮件被持续扫描取决于 Microsoft Exchange Server 的版本 VSAPI 接口版本和用户定义的设置扫描过程可在以下任何情况下触发当用户访问电子邮件时例如在电子邮件客户端中始终使用最新的病毒库扫描电子邮件在后台中当 Microsoft Exchange Server 的使用较低时主动基于 Microsoft Exchange Server 的内部算法 VSAPI 接口当前用于病毒防护扫描和基于规则的防护 132 邮件传输防护 SMTP 服务器级别过滤受专业化插件的保护在 Microsoft Exchange Server 2003 和 2003 中所谈论的插件事件接收在 SMTP 服务器上注册为 Internet Information Services (IIS) 的一部分在 Microsoft Exchange Server 和 2016 中插件在 Microsoft Exchange Server 的 Edge 或 Hub 角色上注册为传输代理通过传输代理进行的 SMTP 服务器级别的过滤提供防护其形式为病毒防护反垃圾邮件防护和用户定义的规则因为与 VSAPI 过滤相反 SMTP 服务器级别的过滤在扫描的电子邮件到达 Microsoft Exchange Server 邮箱之前执行 8

133 手动数据库扫描在大型环境中运行完整电子邮件数据库扫描可能导致不希望出现的系统负载要避免此问题请在特定数据库或邮箱上运行扫描通过使用消息时间戳过滤扫描目标进一步最大限度降低服务器系统影响重要信息针对手动数据库扫描错误定义的规则可能导致邮箱数据库发生不可逆转的更改在首次使用规则运行手动数据库扫描之前始终确保您具有邮箱数据库的最新备份另外

9 133 手动数据库扫描在大型环境中运行完整电子邮件数据库扫描可能导致不希望出现的系统负载要避免此问题请在特定数据库或邮箱上运行扫描通过使用消息时间戳过滤扫描目标进一步最大限度降低服务器系统影响重要信息针对手动数据库扫描错误定义的规则可能导致邮箱数据库发生不可逆转的更改在首次使用规则运行手动数据库扫描之前始终确保您具有邮箱数据库的最新备份另外我们强烈建议您验证规则是否按预期运行若要进行验证仅使用记录到事件操作来定义规则因为任何其他操作都会对邮箱数据库做出更改在验证后您可以添加破坏性规则操作如删除附件无论是在公共文件夹还是用户邮箱中都会扫描以下项目类型电子邮件帖子日历项目会议约会任务联系人日记 1 使用下拉列表根据时间戳选择要扫描的邮件例如扫描上一周内修改的邮件如果需要您还可以选择扫描所有邮件 2 若要启用或禁用邮件正文扫描请选中扫描邮件正文旁边的复选框 3 单击编辑选择要接受扫描的公共文件夹 9

10 4 选中要扫描的服务器数据库和邮箱旁边的复选框过滤可使您快速查找数据库和邮箱尤其是在您的 Exchange 基础架构中存在大量邮箱时 5 单击保存可将扫描目标和参数保存到手动扫描配置文件中 6 您可以现在单击扫描如果您之前未指定数据库扫描帐户详细信息将打开一个弹出窗口要求提供凭据否则手动数据库扫描将启动 14 防护类型共有三种类型的防护病毒防护反垃圾邮件防护规则 141 病毒防护病毒防护是 ESET Mail Security 的基本功能之一病毒防护通过控制文件电子邮件和 Internet 通信防范恶意系统攻击如果检测到带有恶意代码的威胁则病毒防护模块可以通过先阻止它然后清除删除或将其移至隔离区来消除威胁 142 反垃圾邮件防护反垃圾邮件防护集成了多种技术 RBL DNSBL 指纹验证信誉检查内容分析规则手动白名单黑名单等来最大程度地检测电子邮件威胁 ESET Mail Security 反垃圾邮件防护基于云且大多数云数据库位于 ESET 数据中心反垃圾邮件防护云服务支持及时的数据更新从而缩短在出现新垃圾邮件时的反应时间它还允许从 ESET 黑名单中删除不正确的数据随时可以在端口上通过专用协议与反垃圾邮件防护云服务进行通信如果无法通过 ESET 的协议进行通信请改为使用 DNS 服务端口 53 但是使用 DNS 并不同等有效因为它需要在单个电子邮件的垃圾邮件分类过程中发送多个请求建议您为此知识库文章中列出的 IP 地址打开 TCP/UDP 端口 ESET Mail Security 使用此端口发送请求 10

11 通常在垃圾邮件分类过程中不会发送电子邮件或部分电子邮件但是如果启用了 ESET LiveGrid 并且已明确允许提交样本进行分析则只可能发送标记为垃圾邮件或很可能为垃圾邮件的邮件以帮助彻底分析和云数据库增强如果您要报告垃圾邮件分类中的误报和漏报请参阅我们的知识库文章以获取详细信息此外 ESET Mail Security 还可以使用垃圾邮件过滤的灰名单方法默认情况下禁用 143 规则可用于您系统中的邮箱数据库防护手动数据库扫描和邮件传输防护的规则取决于随 ESET Mail Security 一起安装在服务器上的 Microsoft Exchange Server 版本规则允许您手动定义电子邮件过滤条件和对已过滤电子邮件采取的操作有不同的条件集和操作集您可以创建个别规则也可结合使用如果一个规则使用多个条件将使用逻辑运算符 AND 链接条件最终仅当所有条件都满足时才执行该规则如果创建了多个规则将应用逻辑运算符 OR 表示程序将运行满足条件的第一个规则在扫描序列中使用的第一个技术为灰名单如果已启用它后续程序将始终执行以下技术基于用户定义的规则的防护其后是病毒防护扫描最后是反垃圾邮件扫描 15 用户界面 ESET Mail Security 具有直观的图形用户界面 (GUI) 可让用户轻松访问主要程序功能 ESET Mail Security 的主程序窗口分为两个主要部分右侧的主窗口显示与左侧的主菜单中选定选项相关的信息主菜单中的不同部分如下所述监视 - 提供有关 ESET Mail Security 的防护状态许可证有效性病毒库更新以及基本统计信息和系统信息 11

12 日志文件 - 访问包含有关所有已发生的重要程序事件的信息的日志文件这些文件提供检测到的威胁和其他与安全相关的事件的概述扫描 - 允许您配置和启动存储扫描智能扫描自定义扫描或可移动磁盘扫描您还可以重复上次执行的扫描邮件隔离 - 使您可以轻松管理隔离的电子邮件此邮件隔离管理器通用于以下类型本地隔离隔离邮箱和 MS Exchange 隔离区更新 - 提供有关病毒库的信息并通知您有关可用的更新也可以从此会话中执行产品激活设置 - 调整服务器和计算机安全设置工具 - 提供有关系统防护的其他信息帮助您管理安全性的其他工具工具部分包含以下项目运行进程查看活动防护统计群集 ESET Shell ESET SysInspector ESET SysRescue Live 用于创建修复 CD 或 USB 和计划任务您还可以提交样本以供分析并检查您的隔离区帮助和支持 - 提供对帮助页 ESET 知识库和其他支持工具的访问权限还提供用于打开客户服务支持请求的链接以及有关产品激活的信息除了主要 GUI 还有高级设置窗口可通过按 F5 键从程序中的任何位置访问它在高级设置窗口中您可以根据自己的需要配置设置和选项左侧菜单包括以下类别服务器 - 允许配置病毒和间谍软件防护邮箱数据库防护规则等计算机 - 启用或禁用对潜在不受欢迎不安全可疑应用程序的检测指定排除实时文件系统防护手动计算机扫描以及 Hyper-V 扫描等更新 - 配置配置文件的列表创建更新文件的快照更新源信息如正在使用的更新服务器和这些服务器的验证数据 Web 和电子邮件 - 允许您配置电子邮件客户端防护协议过滤 Web 访问保护等设备控制 - 配置设备控制规则和组 12

13 工具 - 允许您自定义工具如 ESET LiveGrid 日志文件代理服务器群集等用户界面 - 配置程序的图形用户界面 (GUI) 行为状态许可证信息等当您在左侧菜单中单击某个项目类别或子类别时该项目的各个设置将显示在右侧窗格上 16 系统需求支持的操作系统 Microsoft Windows Server 2016 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2008 x86 和 x64 Microsoft Windows Server 2003 R2 SP2 x86 和 x64 Microsoft Windows Server 2003 SP2 x86 和 x64 受支持的最低版本操作系统为 Microsoft Windows Server 2003 SP2 Microsoft Windows Small Business Server 2011 (x64) Microsoft Windows Small Business Server 2008 (x64) Microsoft Windows Small Business Server 2003 R2 (x86) Microsoft Windows Small Business Server 2003 (x86) 支持的 Microsoft Exchange Server 版本 Microsoft Exchange Server 2016 CU1, CU2, CU3, CU4, CU5, CU6, CU7, CU8, CU9 Microsoft Exchange Server 2013 CU2, CU3, CU5, CU6, CU7, CU8, CU9, CU10, CU11, CU12, CU13, CU14, CU15, CU16, CU17, CU18, CU19, CU20 Microsoft Exchange Server 2010 SP1, SP2, SP3 Microsoft Exchange Server 2007 SP1, SP2, SP3 Microsoft Exchange Server 2003 SP1, SP2 注释 Microsoft Exchange Server 2013 上的 SP1 aka CU4 不受 ESET Mail Security 支持最低硬件要求组件要求处理器 Intel 或 AMD 单核 x86 或 x64 内存 256 MB 可用内存硬盘驱动器 700 MB 可用硬盘空间屏幕分辨率 800 x 600 像素或更高 ESET Mail Security 对于 Microsoft Exchange Server 有相同的建议硬件要求有关详细信息请参阅以下 Microsoft 技术文章 Microsoft Exchange Server 2003 Microsoft Exchange Server 2007 Microsoft Exchange Server 2010 Microsoft Exchange Server 2013 Microsoft Exchange Server

14 注释我们建议您在安装 ESET 安全产品之前安装适用于您的 Microsoft Server 操作系统和服务器应用程序的最新 Service Pack 我们还建议您尽量安装最新的 Windows 更新和修补程序 161 E S E T Ma il S e c urity 功能和 E xc ha ng e S e rv e r 角色下表可让您对每个支持版本的 Microsoft Exchange Server 提供的功能及其角色一目了然 ESET Mail Security 安装向导会在安装期间检查您的环境安装完成后 ESET Mail Security 将根据已检测到的 Exchange Server 版本显示相应功能及其角色功能 Exchange Server 版本和服务器角色 Exchange Server 2003 多种角色 Exchange Server 2003 前端 Exchange Server 2003 后端 Exchange Server 2007 多种角色 Microsoft Exchange Server 2007 (Edge) Microsoft Exchange Server 2007 (Hub) Microsoft Exchange Server 2007 邮箱 Microsoft Exchange Server 2010 多种角色 Microsoft Exchange Server 2010 (Edge) Microsoft Exchange Server 2010 (Hub) Microsoft Exchange Server 2010 邮箱 Microsoft Exchange Server 2013 多种角色 Microsoft Exchange Server 2013 (Edge) Microsoft Exchange Server 2013 邮箱 Microsoft Exchange Server 2016 (Edge) Microsoft Exchange Server 2016 邮箱 Windows Small Business Server 2003 Windows Small Business Server 反垃圾邮件防护规则邮件传输防手动数据库邮箱数据护扫描库防护邮件隔离

15 功能 Exchange Server 版本和服务器角色反垃圾邮件防护规则邮件传输防手动数据库邮箱数据护扫描库防护邮件隔离 Windows Small Business Server E xc ha ng e S e rv e r 角色 E d g e 或 H ub Edge 传输服务器和 Hub 传输服务器在默认情况下禁用反垃圾邮件功能在具有 Edge 传输服务器的 Exchange 组织中这是需要的配置我们建议您配置运行 ESET Mail Security 反垃圾邮件的 Edge 传输服务器以便让它在邮件路由到 Exchange 组织之前对其进行过滤 Edge 角色是用于反垃圾邮件扫描的首选位置这是因为它使 ESET Mail Security 可以在早期过程中拒绝垃圾邮件从而防止将不必要的负载放置在网络层因为使用该配置时 ESET Mail Security 将在 Edge 传输服务器上过滤传入的邮件所以它们可以安全移动到 Hub 传输服务器而无需进一步过滤如果您的组织不使用 Edge 传输服务器仅有 Hub 传输服务器我们建议您在通过 SMTP 接收来自 Internet 的入站邮件的 Hub 传输服务器上启用反垃圾邮件功能 17 通过 ESET Remote Administrator 托管 ESET Remote Administrator (ERA) 是一个应用程序它允许您从一个中心位置管理网络环境中的 ESET 产品此 ESET Remote Administrator 任务管理系统允许您在远程计算机上安装 ESET 安全解决方案并且快速响应新问题和威胁 ESET Remote Administrator 自身不提供对恶意代码的防护它依赖于每个客户端上是否存在 ESET 安全解决方案 ESET 安全解决方案支持包括多个平台类型的网络您的网络可以包括当前 Microsoft 操作系统基于 Linux 的操作系统 Mac OS 和移动操作系统的组合 ESET Remote Administrator 服务器 - ERA 服务器可以安装在 Windows 以及 Linux 服务器上并且以虚拟设备的形式出现它处理与服务器代理的通信以及收集和存储应用程序数据 ERA Web 控制台是一个基于 Web 的用户界面它可以显示来自 ERA 服务器的数据并允许您在环境中管理 ESET 安全解决方案该 Web 控制台可使用 Web 浏览器访问它将显示您网络上的客户端状态的概述并可用于将 ESET 解决方案远程部署到未托管的计算机如果确定 Web 服务器可通过 Internet 访问则可在几乎任何具有有效 Internet 连接的设备上使用 ESET Remote Administrator 15

ERA 服务器代理 - ESET Remote Administrator 服务器代理将有助于 ERA 服务器和客户端计算机之间的通信您必须在所有客户端计算机上安装服务器代理才能在该计算机和 ERA 服务器之间建立通信因为它位于客户端计算机上并且可以存储多种安全方案因此使用 ERA 服务器代理可大大缩短对新威胁的反应时间通过使用

16 ERA 服务器代理 - ESET Remote Administrator 服务器代理将有助于 ERA 服务器和客户端计算机之间的通信您必须在所有客户端计算机上安装服务器代理才能在该计算机和 ERA 服务器之间建立通信因为它位于客户端计算机上并且可以存储多种安全方案因此使用 ERA 服务器代理可大大缩短对新威胁的反应时间通过使用 ERA Web 控制台您可以将 ERA 服务器代理部署到通过 Active Directory 或 ESET RD Sensor 识别的未托管计算机有关 ERA 的详细信息请参阅 ESET Remote Administrator 联机帮助联机帮助分为三个部分安装升级管理和 VA 部署可以使用标题中的导航选项卡在各部分之间切换 16

17 171 覆盖模式如果您已将 ESET Remote Administrator 策略应用到 ESET Mail Security 将在设置页中看到锁定图标启用禁用开关以及在高级设置窗口中看到开关旁边的锁定图标而不是通常无法修改通过 ESET Remote Administrator 策略配置的设置覆盖模式允许您暂时解锁这些设置不过需要使用 ESET Remote Administrator 策略启用覆盖模式登录到 ERA Web 控制台导航到管理员 > 策略选择并编辑已应用到 ESET Mail Security 的现有策略或创建新策略在设置中单击覆盖模式启用该模式然后配置该模式设置的其余部分包括验证类型 Active Directory 用户或密码 17

18 策略已完成修改或新策略已应用到 ESET Mail Security 后覆盖策略按钮将显示在高级设置窗口中 18

19 单击覆盖策略按钮设置持续时间然后单击应用如果已选择密码作为验证类型请输入策略覆盖密码 19

20 覆盖模式到期后您进行的任何配置更改将恢复为 ESET Remote Administrator 的原始策略设置覆盖模式到期之前您会看到通知在覆盖模式到期之前您可以随时在监视页上或高级设置窗口中结束覆盖模式 20

21 2 安装购买 ESET Mail Security 之后可以从 ESET 网站 (wwwesetcom) 以 msi 程序包的形式下载安装程序如果您之前在系统上使用了其他第三方病毒防护软件我们建议您先完全卸载它然后再安装 ESET Mail Security 您可以使用 ESET AV 清除工具来协助删除第三方软件如果您在 Windows Server 2016 上安装 Microsoft 建议卸载 Windows Defender 功能并退出 Windows Defender ATP 注册以防止因为在计算机上安装多个病毒防护产品而导致的问题请必须使用内置管理员帐户或域管理员帐户如果本地管理员帐户已禁用才能执行安装程序其他任何用户即使是管理员组的成员没有足够的访问权限由于您无法成功地在本地或域管理员帐户之外的其他任何用户帐户下完成安装因此您需要使用内置管理员帐户重要信息在可能的情况下我们强烈建议在新安装和配置的操作系统上安装 ESET Mail Security 如果需要在现有系统上安装它我们建议您卸载 ESET Mail Security 版本重新启动服务器然后再安装新的 ESET Mail Security 要安装 ESET Mail Security 有两种安装模式可供选择使用安装向导 (GUI) 或命令行安装安装向导这是一种典型的 GUI 安装模式双击 msi 程序包以运行安装向导然后选择需要的安装类型完全或典型这是建议的安装类型您可以选择 ESET Security 的安装位置不过建议您使用默认值有关详细安装过程请参阅 ESET Mail Security 安装步骤自定义自定义安装允许您选择在系统上安装 ESET Mail Security 的哪些功能在安装开始之前会显示产品模块和功能的列表有关详细安装过程请参阅 ESET Mail Security 安装步骤命令行安装除了安装向导您还可以选择通过命令行以静默方式安装 ESET Mail Security 此安装类型不需要任何交互也称为无人参与安装静默无人参与安装若要通过命令行完成安装请运行以下命令 msiexec /i <packagename> /qn /l*xv 在 Windows Server 2008 和 2008 R2 上将不会安装 Web 和电子邮件功能 msilog 要确保安装成功或防止安装出现任何问题请使用 Windows 事件查看器检查应用程序日志查找来自源 MsiInstaller 的记录示例 64 位系统上的完整安装 msiexec /i emsx_nt64_enumsi /qn /l*xv msilog ADDLOCAL=WebAnd , ClientProtection,^ MailPlugins,ProtocolFiltering,WebAccessProtection,_Base,ShellExt,HIPS,SERVER,_FeaturesCore,^ RealtimeProtection,DeviceControl,WMIProvider,Scan,Updater,DocumentProtection,CLUSTER,^ GraphicUserInterface,eShell,UpdateMirror,SysInspector,SysRescue,OnlineHelp,OfflineHelp,^ EnterpriseInspector 21

22 示例 32 位系统上的完整安装 msiexec /i emsx_nt32_enumsi /qn /l*xv msilog ADDLOCAL=WebAnd , ClientProtection,^ MailPlugins,ProtocolFiltering,WebAccessProtection,_Base,ShellExt,HIPS,SERVER,_FeaturesCore,^ RealtimeProtection,DeviceControl,WMIProvider,Scan,Updater,DocumentProtection,CLUSTER,^ GraphicUserInterface,eShell,UpdateMirror,SysInspector,SysRescue,OnlineHelp,OfflineHelp,^ EnterpriseInspector 安装完成后 ESET GUI 将启动并且托盘图标显示在通知区域系统托盘中示例在 32 位系统上无 ProtocolFiltering 和 WebAccessProtection 的安装 msiexec /i emsx_nt32_enumsi /qn /l*xv msilog ADDLOCAL=_Base,ShellExt,HIPS,SERVER,^ _FeaturesCore,RealtimeProtection,DeviceControl,WMIProvider,Scan,Updater,DocumentProtection,^ CLUSTER,GraphicUserInterface,eShell,UpdateMirror,SysInspector,SysRescue,OnlineHelp,^ OfflineHelp,EnterpriseInspector 示例在 64 位系统上添加功能 (ProtocolFiltering) msiexec /i emsx_nt64_enumsi /qn /l*xv msilog ADDLOCAL=WebAnd , ClientProtection,^ MailPlugins,ProtocolFiltering,WebAccessProtection REINSTALL=_Base,ShellExt,HIPS,_Base,SERVER,^ _FeaturesCore,RealtimeProtection,DeviceControl,WMIProvider,Scan,Updater,DocumentProtection,^ CLUSTER,GraphicUserInterface,eShell,UpdateMirror,SysInspector,SysRescue,OnlineHelp,^ OfflineHelp,EnterpriseInspector 示例在 64 位系统上删除功能 (ProtocolFiltering) msiexec /i emsx_nt64_enumsi /qn /l*xv msilog REMOVE=WebAnd , ClientProtection,^ MailPlugins,ProtocolFiltering,WebAccessProtection REINSTALL=_Base,ShellExt,HIPS,SERVER,^ _FeaturesCore,RealtimeProtection,DeviceControl,WMIProvider,Scan,Updater,DocumentProtection,^ CLUSTER,GraphicUserInterface,eShell,UpdateMirror,SysInspector,SysRescue,OnlineHelp,^ OfflineHelp,EnterpriseInspector 重要信息在指定 REINSTALL 参数的值时必须列出其他未用作 ADDLOCAL 或 REMOVE 参数的值的功能必须正确运行命令行安装以便将所有功能列为 REINSTALL ADDLOCAL 和 REMOVE 参数的值有关功能的完整列表请查阅命令行安装部分如果您不使用 REINSTALL 参数则添加或删除可能不会成功示例从 64 位系统中完全删除卸载 msiexec /x emsx_nt64_enumsi /qn /l*xv msilog 卸载成功后服务器将自动重新启动 22

23 21 ESET Mail Security 安装步骤请按照以下步骤进行操作以使用安装向导安装 ESET Mail Security 单击下一步将显示最终用户许可协议在确认接受最终用户许可协议并单击下一步后请选择一个可用的安装类型可用的安装类型因您的操作系统而异 23

$程序的安装位置为 C:\Program Files\ESET\ESET Mail Security 单击浏览可更改此位置不建议如果您计划针对电子邮件使用本地隔离而不希望将隔离的邮件文件存储在 C: 驱动器上请将数据文件夹的路径更改为您的首选驱动器和位置但是请切记此位置将存储所有 ESET Mail Security 数据文件$

24 Windows Server R R 及 Windows Small Business Server 2003 和 2003 R2: 完全安装所有 ESET Mail Security 功能也称为完整安装将提示您选择将安装 ESET Mail Security 的位置默认情况下程序的安装位置为 C:\Program Files\ESET\ESET Mail Security 单击浏览可更改此位置不建议如果您计划针对电子邮件使用本地隔离而不希望将隔离的邮件文件存储在 C: 驱动器上请将数据文件夹的路径更改为您的首选驱动器和位置但是请切记此位置将存储所有 ESET Mail Security 数据文件 24

Mail Security 时有用 Windows Server 2008 2008 R2 及 Windows

25 单击安装以开始安装安装完成后 ESET GUI 将启动并且托盘图标显示在通知区域系统托盘中自定义允许您选择在系统上安装哪些 ESET Mail Security 功能它在您想要自定义仅包含所需组件的 ESET Mail Security 时有用 Windows Server R2 及 Windows Small Business Server 2008 和 2011: 典型安装推荐的 ESET Mail Security 功能 25

$系统将提示您选择安装位置默认情况下程序的安装位置为 C:\Program Files\ESET\ESET Mail Security 单击浏览可更改此位置不建议单击安装以开始安装安装完成后 ESET GUI 将启动并且托盘图标显示在通知区域系统托盘中自定义允许您选择在系统上安装哪些 ESET Mail Security 功能它在您想要自定义仅包含所需组件的 ESET$

26 系统将提示您选择安装位置默认情况下程序的安装位置为 C:\Program Files\ESET\ESET Mail Security 单击浏览可更改此位置不建议单击安装以开始安装安装完成后 ESET GUI 将启动并且托盘图标显示在通知区域系统托盘中自定义允许您选择在系统上安装哪些 ESET Mail Security 功能它在您想要自定义仅包含所需组件的 ESET Mail Security 时有用注释在 Windows Server 2008 Windows Server 2008 R2 Small Business Server 2008 和 Small Business Server 2011 上默认情况下禁止安装 Web 和电子邮件组件典型安装如果您想要安装此组件请选择自定义安装类型组件修改添加删除过程修复和删除您可以添加或删除包含在安装中的组件若要执行上述操作请运行在初始安装期间使用过的 msi 安装程序包或者转到程序和功能可从 Windows 控制面板访问右键单击 ESET Mail Security 并选择更改按照以下步骤进行操作以添加或删除组件提供 3 个可用选项您可以修改已安装组件修复 ESET Mail Security 的安装或完全删除卸载它 26

您可以随时通过运行安装程序修改已安装的组件对于大部分组件执行更改未必需要服务器重新启动 GUI 将重新启动

27 如果您选择修改将显示一个可用程序组件的列表选择要添加或删除的组件您可以同时添加删除多个组件单击组件然后从下拉菜单中选择一个选项选中某个选项后请单击修改以执行修改注释您可以随时通过运行安装程序修改已安装的组件对于大部分组件执行更改未必需要服务器重新启动 GUI 将重新启动并且您将仅看到您选择安装的组件对于需要服务器重新启动的组件 Windows Installer 将提示您重新启动并且新组件将在服务器重新联机时变得可用 27

28 211 命令行安装以下设置旨在仅用于用户界面的降低基本和无级别请参阅用于相应命令行开关的 msiexec 版本的文档支持的参数 APPDIR=<path> 路径有效的目录路径应用程序安装目录例如 emsx_nt64_enumsi /qn APPDIR=C:\ESET\ ADDLOCAL=DocumentProtection APPDATADIR=<path> 路径有效的目录路径应用程序数据安装目录 MODULEDIR=<path> 路径有效的目录路径模块安装目录 ADDEXCLUDE=<list> ADDEXCLUDE 列表是所有不安装的功能名称的列表以逗号分隔作为已废弃的 REMOVE 的替代物当选择不安装的功能时整个路径即其所有子功能和相关的不可见功能必须显式包含在列表中例如 emsx_nt64_enumsi /qn ADDEXCLUDE=<list> ADDEXCLUDE 不能与 ADDLOCAL 一起使用 ADDLOCAL=<list> 组件安装要在本地安装的非强制性功能的列表 ESET msi 程序包的使用 emsx_nt64_enumsi /qn ADDLOCAL=<list> 有关 ADDLOCAL 属性的详细信息请参阅 29aspx ADDLOCAL 列表是所有将安装的功能的列表以逗号分隔当选择要安装的功能时完整路径所有父功能必须显式包含在该列表中功能状态强制 - 始终安装功能可选 - 可以取消选择安装此功能不可见 - 为了使其他功能正常工作逻辑功能是强制性的 ESET Mail Security 功能列表重要信息所有功能的名称区分大小写例如 RealtimeProtection 不等同于 REALTIMEPROTECTION 28 功能名称功能状态 SERVER 强制 RealtimeProtection 强制 Scan 强制 WMIProvider 强制 HIPS 强制 Updater 强制 eshell 强制

29 功能名称功能状态 UpdateMirror 强制 DeviceControl 可选 DocumentProtection 可选 WebAnd 可选 ProtocolFiltering 不可见 WebAccessProtection 可选 ClientProtection 可选 MailPlugins 不可见 CLUSTER 可选 _Base _License ShellExt 可选 _FeaturesCore GraphicUserInterface 可选 SysInspector 可选 SysRescue 可选 OnlineHelp 可选 OfflineHelp 可选 EnterpriseInspector 可选如果您要删除以下功能中的任何一个则需要删除整个组 GraphicUserInterface,ShellExt WebAnd , ClientProtection,MailPlugins,ProtocolFiltering,WebAccessProtection OnlineHelp,OfflineHelp 示例在 64 位系统上删除功能 (ProtocolFiltering) msiexec /i emsx_nt64_enumsi /qn ^ /l*xv msilog REMOVE=WebAnd , ClientProtection,MailPlugins,ProtocolFiltering,^ WebAccessProtection REINSTALL=_Base,ShellExt,HIPS,SERVER,_FeaturesCore,RealtimeProtection,^ DeviceControl,WMIProvider,Scan,Updater,DocumentProtection,CLUSTER,GraphicUserInterface,eShell,^ UpdateMirror,SysInspector,SysRescue,OnlineHelp,OfflineHelp,EnterpriseInspector 如果您希望 ESET Mail Security 在安装后自动配置您可以在安装命令中指定基本配置参数示例安装 ESET Mail Security 并禁用 ESET LiveGrid msiexec /i emsx_nt64_enumsi /qn /l*xv msilog CFG_LIVEGRID_ENABLED=0 所有配置属性列表 CFG_POTENTIALLYUNWANTED_ENABLED=1/0 29

30 0 - 已禁用 1 - 已启用 CFG_LIVEGRID_ENABLED=1/0 0 - 已禁用 1 - 已启用 LiveGrid FIRSTSCAN_ENABLE=1/0 0 - 已禁用 1 - 已启用在安装后计划新的 FirstScan CFG_PROXY_ENABLED=0/1 0 - 已禁用 1 - 已启用 CFG_PROXY_ADDRESS=<ip> 代理 IP 地址 CFG_PROXY_PORT=<port> 代理端口号 CFG_PROXY_USERNAME=<user> 用于身份验证的用户名 CFG_PROXY_PASSWORD=<pass> 用于身份验证的密码 212 在群集环境中安装您可以在群集环境例如在故障转移群集中中部署 ESET Mail Security 我们建议您将 ESET Mail Security 安装在活动节点上然后使用 ESET Mail Security 的 ESET 群集功能在被动节点上重新分发安装除了安装外 ESET 群集还将用作 ESET Mail Security 配置的复制以确保正确操作所需的群集节点之间的一致性 30

31 22 产品激活完成安装后将提示您激活您的产品选择其中一种可用方法来激活 ESET Mail Security 有关更多信息请参阅如何激活 ESET Mail Security 31

32 成功激活 ESET Mail Security 后主程序窗口将打开并在监视页面中显示您的当前状态最初可能需要您例如将询问您是否想要参与 ESET LiveGrid 主程序窗口还将显示有关其他项目的通知例如系统更新 Windows 更新或病毒库更新当处理完所有需要注意的项目后监视状态将变为绿色并显示状态最高防护 23 ESET AV Remover 若要从系统中删除卸载第三方病毒防护软件我们建议您使用 ESET AV Remover 若要执行该操作请遵循以下步骤 1 从 ESET 网站实用程序下载页面下载 ESET AV Remover 2 单击我接受启动搜索来接受 EULA 并开始搜索您的系统 3 单击启动卸载程序删除已安装的病毒防护软件对于可以使用 ESET AV Remover 删除的第三方病毒防护软件的列表请参阅此知识库文章 24 POP3 连接器和反垃圾邮件 Microsoft Windows Small Business Server (SBS) 版本包含本机内置的 POP3 连接器它使服务器能够从外部 POP3 服务器获取电子邮件该 Microsoft 本机 POP3 连接器的实现在不同 SBS 版本之间是不同的如果未正确配置 ESET Mail Security 将不支持 Microsoft SBS POP3 连接器扫描通过 Microsoft POP3 连接器下载的邮件以查找是否存在垃圾邮件可以对这些邮件提供反垃圾邮件防护因为该 POP3 连接器通过 SMTP 将这些电子邮件从 POP3 帐户转发到 Microsoft Exchange Server ESET Mail Security 已通过流行的邮件服务在以下 SBS 系统上进行测试这些服务包括 Gmailcom Outlookcom Yahoocom Yandexcom 和 gmxde Microsoft Windows Small Business Server 2003 R2 32

33 Microsoft Windows Small Business Server 2008 Microsoft Windows Small Business Server 2011 重要信息如果您正在使用内置的 Microsoft SBS POP3 连接器并且已扫描了所有电子邮件以查看是否存在垃圾邮件请按 F5 以访问高级设置导航到服务器 > 邮件传输防护 > 高级设置然后在同时扫描从验证或内部连接接收的邮件设置中从下拉列表中选择由病毒和反垃圾邮件防护扫描这确保了针对从 POP3 帐户获取的电子邮件启用反垃圾邮件防护您也可以使用第三方 POP3 连接器例如 P3SS 而不是内置 Microsoft SBS POP3 连接器 ESET Mail Security 已在以下系统使用 P3SS 连接器获取来自 Gmailcom Outlookcom Yahoocom Yandexcom 和 gmxde 的邮件上进行测试: Microsoft Windows Small Business Server 2003 R2 带有 Exchange Server 2007 的 Microsoft Windows Server 2008 带有 Exchange Server 2010 的 Microsoft Windows Server 2008 R2 带有 Exchange Server 2013 的 Microsoft Windows Server 2012 R2 25 升级到新版本发布 ESET Mail Security 的新版本是为了提供改进功能或修复无法通过程序模块的自动更新来解决的问题可以使用的升级方法如下所示手动 - 下载最新版本的 ESET Mail Security 如果要保留配置请从现有 ESET Mail Security 中导出设置卸载 ESET Mail Security 然后重新启动服务器使用已下载的安装程序执行全新安装导入设置以加载您的配置如果您只有一台运行 ESET Mail Security 的服务器建议您执行此步骤适用于从任何旧版本升级到版本 6x 远程 - 适用于由 ESET Remote Administrator 管理的大型网络环境如果您有多台运行 ESET Mail Security 的服务器此方法十分有用适用于从版本 4x 升级到版本 6x ESET 群集向导 - 也可以用作一种升级方法我们建议对不少于 2 台装有 ESET Mail Security 的服务器使用此方法适用于从版本 4x 升级到版本 6x 升级完成后可以继续使用 ESET 群集并充分利用其功能升级 ESET Mail Security 期间会要求重新启动服务器重要信息升级过程中无法迁移某些设置尤其是规则这是因更高产品版本中引入的规则功能更改所致建议在从 4x 版本迁移之前先记录您的规则设置在升级完成后可以设置规则与以前版本的 ESET Mail Security 中的规则相比新的规则可提供给您更大灵活性甚至更多可能性以下是从以前版本的 ESET Mail Security 中保留的设置常规 ESET Mail Security 配置反垃圾邮件防护设置与以前版本中一致的所有设置任何新的设置都将使用默认设置白名单和黑名单条目注释升级您的 ESET Mail Security 后我们建议您检查所有设置并确保根据您的需要正确配置 33

251 通过 E R A 升级借助 ESET Remote Administrator 您可以升级正在运行早期版本的 ESET Mail Security 的多台服务器此方法适用于同时升级大量服务器并且在升级期间确保每个 ESET Mail Security 的配置都完全相同如有需要适用于从版本 4x 升级到版本 6x 此过程包含以下阶段通过以下方式手动升级第一台服务器

34 251 通过 E R A 升级借助 ESET Remote Administrator 您可以升级正在运行早期版本的 ESET Mail Security 的多台服务器此方法适用于同时升级大量服务器并且在升级期间确保每个 ESET Mail Security 的配置都完全相同如有需要适用于从版本 4x 升级到版本 6x 此过程包含以下阶段通过以下方式手动升级第一台服务器基于现有版本安装最新版本的 ESET Mail Security 以保留所有配置其中包括规则大量白名单和黑名单等在运行 ESET Mail Security 的服务器上以本地方式执行此阶段在 ERA 中为新升级为版本 6x 的 ESET Mail Security 请求配置并转换为策略稍后会将该策略应用到所有已升级的服务器将使用 ERA 远程执行此阶段以及以下阶段在所有运行旧版本的 ESET Mail Security 的服务器上运行软件卸载任务在所有要运行最新版本的 ESET Mail Security 的服务器上运行软件安装任务向所有运行最新版本的 ESET Mail Security 的服务器分配配置策略分步过程 1 登录到其中一台运行 ESET Mail Security 的服务器然后通过基于现有版本下载并安装最新版本进行升级按照常规安装步骤进行操作安装期间会保留旧版 ESET Mail Security 的所有原始配置 2 打开 ERA Web 控制台从静态组或动态组中选择客户端计算机然后单击显示详细信息 34

35 3 导航到配置选项卡然后单击请求配置按钮以收集托管产品的所有配置获取配置需花费一点时间最新配置显示在列表中后单击安全产品并选择打开配置 4 通过单击转换为策略按钮来创建配置策略输入新策略的名称然后单击完成 5 依次导航到管理员 > 客户端任务然后选择软件卸载任务创建卸载任务时我们建议您通过选中需要时 35

自动重新启动复选框以便在卸载后重新启动服务器创建该任务后添加所有需要进行卸载的目标计算机 6 确保 ESET Mail Security 已从所有目标计算机中卸载 7 创建软件安装任务以便将最新版本的 ESET Mail Security 安装到所有需要进行安装的目标计算机 8 向所有运行 ESET Mail Security 的服务器分配配置策略理想情况下是分配到组中 252 通

36 自动重新启动复选框以便在卸载后重新启动服务器创建该任务后添加所有需要进行卸载的目标计算机 6 确保 ESET Mail Security 已从所有目标计算机中卸载 7 创建软件安装任务以便将最新版本的 ESET Mail Security 安装到所有需要进行安装的目标计算机 8 向所有运行 ESET Mail Security 的服务器分配配置策略理想情况下是分配到组中 252 通过 E S E T 群集升级通过创建 ESET 群集您可以升级多台装有 ESET Mail Security 早期版本的服务器它是 ERA 升级的替代方案当您的环境中的 2 台或更多台服务器装有 ESET Mail Security 时建议使用 ESET 群集方法此升级方法的另一个好处是您可以继续使用 ESET 群集以同步所有成员节点上的 ESET Mail Security 配置适用于从版本 4x 升级到版本 6x 按照以下步骤操作使用此方法进行升级 1 登录到其中一台运行 ESET Mail Security 的服务器然后通过基于现有版本下载并安装最新版本进行升级按照常规安装步骤进行操作安装期间会保留旧版 ESET Mail Security 的所有原始配置 2 运行 ESET 群集向导并添加群集节点要升级 ESET Mail Security 的服务器如有必要也可以添加尚未运行 ESET Mail Security 的其他服务器将在这些服务器上执行安装我们建议您在指定群集名称和安装类型时保留默认设置确保已选中在未激活产品的情况下将许可证推送到节点 3 查看节点检查日志屏幕它会列出装有旧产品版本且要重新安装产品的服务器 ESET Mail Security 还将安装在当前未安装该产品的任何已添加服务器上 36

37 4 节点安装和群集激活屏幕将显示安装进度安装成功完成后结束时显示的结果应如下所示 37

38 如果未正确配置网络或 DNS 您可能会收到一条错误消息显示无法从服务器获得激活标记尝试再次运行 ESET 群集向导该向导会销毁该群集并创建新的群集不会重新安装产品此时应成功完成激活如果问题仍然存在请检查您的网络和 DNS 设置 38

39 3 入门指南本章提供对 ESET Mail Security 菜单的主要部分功能及基本设置的概述监视日志文件扫描更新设置工具帮助和支持 31 监视监视部分中显示的防护状态为您提供有关计算机的当前防护级别的信息有关 ESET Mail Security 操作的状态摘要将显示在主窗口中绿色最高防护状态表示已确保最高防护状态窗口还显示指向 ESET Mail Security 中常用功能的快速链接和有关上次更新的信息 39

对于工作正常的模块会为其指定一个绿色对勾对于不完全工作的模块会为其指定一个红色惊叹号或橙色通知图标有关模块的其他信息显示在窗口的上半部分同时还显示用于修复该模块的建议解决方案若要更改单个模块的状态请在主菜单中单击设置然后单击所需模块红色图标表示发生严重问题不能确保为计算机提供最大程度的防护显示红色图标指示出现以下情况邮件服务器病毒防护已禁用 -

40 对于工作正常的模块会为其指定一个绿色对勾对于不完全工作的模块会为其指定一个红色惊叹号或橙色通知图标有关模块的其他信息显示在窗口的上半部分同时还显示用于修复该模块的建议解决方案若要更改单个模块的状态请在主菜单中单击设置然后单击所需模块红色图标表示发生严重问题不能确保为计算机提供最大程度的防护显示红色图标指示出现以下情况邮件服务器病毒防护已禁用 - 单击监视中的启用病毒防护或在主程序窗口的设置窗格中重新启用病毒和间谍软件防护病毒库已过期 - 单击更新病毒库或单击主程序窗口的更新选项卡中的立即更新产品未激活或许可证已过期 - 此问题由防护状态图标变为红色来表示许可证过期后该程序将无法更新按照警报窗口中的说明续订许可证注释如果您在使用 ERA 管理 ESET Mail Security 并将策略分配给它则状态链接将处于锁定状态灰色显示具体取决于哪些功能受制于该策略橙色图标表示 ESET 产品存在一个不严重的问题需要您关注显示橙色图标指示出现以下情况 Web 访问保护已暂停 - 单击监视中的启用 Web 访问保护或在主程序窗口的设置窗格中重新启用 Web 访问保护您的许可证即将到期 - 此问题由显示惊叹号的防护状态图标表示许可证过期后程序将无法更新防护状态图标将变为红色 40

41 策略覆盖处于活动状态 - 暂时覆盖策略设置的配置可能直到故障排除结束为止监视页面还包括有关您的系统的以下信息产品版本 - ESET Mail Security 的版本号服务器名称 - 计算机主机名或 FQDN 系统 - 操作系统详细信息计算机 - 硬件详细信息服务器正常运行时间 - 显示系统正常运行的时长基本上相对于停机时间邮箱计数 - ESET Mail Security 会检测邮箱数目并基于对以下项的检测显示计数域 Exchange Server 所属的特定域中所有邮箱的计数本地 - 反映安装有 ESET Mail Security 的 Exchange Server 的邮箱如果有计数有关详细信息请参阅我们的知识库文章如果使用建议的解决方案无法解决问题请单击帮助和支持访问帮助文件或搜索 ESET 知识库如果仍然需要帮助可以提交 ESET 客户服务支持请求 ESET 客户服务将快速响应您的问题并帮助找到解决方案 41

32 日志文件日志文件包含已发生的重要程序事件的信息并提供检测到的威胁的概要信息日志对于系统分析威胁检测和故障排除必不可少日志记录在后台主动执行无需用户交互根据日志级别设置记录信息可以直接从 ESET Mail Security 环境查看文本消息和日志或者将它们导出以在别处查看可从主程序窗口中访问日志文件方法是单击日志文件从下拉菜单中选择所需日志类型可用日志包括

42 32 日志文件日志文件包含已发生的重要程序事件的信息并提供检测到的威胁的概要信息日志对于系统分析威胁检测和故障排除必不可少日志记录在后台主动执行无需用户交互根据日志级别设置记录信息可以直接从 ESET Mail Security 环境查看文本消息和日志或者将它们导出以在别处查看可从主程序窗口中访问日志文件方法是单击日志文件从下拉菜单中选择所需日志类型可用日志包括检测到的威胁 - 威胁日志提供有关 ESET Mail Security 模块检测到的渗透的详细信息此信息包括检测时间渗透名称位置执行的操作以及检测到渗透时登录用户的名称双击任何日志条目以在单独的窗口中显示其详细信息事件 - ESET Mail Security 执行的所有重要操作都记录在事件日志中事件日志包含有关程序中发生的事件和错误的信息它旨在帮助系统管理员和用户解决问题从此处获取的信息常常有助于解决程序中发生的问题计算机扫描 - 所有扫描结果在此窗口中显示每一行对应一个计算机控件双击任意条目以查看相应扫描的详细信息 HIPS - 包含特定规则的记录这些规则标记为用于记录该协议显示调用操作的应用程序结果无论已允许还是已禁止规则以及所创建的规则的名称已过滤的网站 - 被 Web 访问保护阻止的网站列表在这些日志中您可以查看时间 URL 用户和打开了到特定网站的连接的应用程序设备控制 - 包含与计算机连接的可移动磁盘或设备的记录只有具有设备控制规则的设备才会记录到日志文件如果规则不匹配连接的设备则不会创建所连接设备的日志条目您还可以在这里找到设备类型序列号供应商名称和磁盘大小如果可用等详细信息邮件服务器防护由 ESET Mail Security 检测为渗透或垃圾邮件的所有邮件都记录在此处这些日志应用到以下防护类型中反垃圾邮件规则和病毒防护当您双击某个项目时将打开一个弹出窗口该窗口显示关于 42

43 检测到的电子邮件的其他信息如 IP 地址 HELO 域邮件 ID 扫描类型用于显示检测该邮件时所使用的保护级别此外您可以看到病毒和间谍软件防护扫描的结果以及检测到它的原因或是否激活某个规则并非所有经过处理的邮件都会记录到邮件服务器防护日志中但是所有实际经过修改的邮件删除的附件添加到邮件标题的自定义字符串等都会写入日志数据库扫描 - 包含病毒库版本日期已扫描位置扫描的对象数找到的威胁数规则命中数和完成时间灰名单 - 使用灰名单方法评估的所有邮件都记录在此每个记录都包含 HELO 域 IP 发件人和收件人的地址操作状态已拒绝已拒绝未验证和已验证的传入邮件 Hyper-V 扫描 - 包含 Hyper-V 扫描结果列表双击任意条目以查看相应扫描的详细信息在每一部分中显示的信息都可以复制到剪贴板键盘快捷方式为 Ctrl+C 方法是选择条目并单击复制 Ctrl 和 Shift 键可用于选择多个条目单击开关图标过滤以打开日志过滤窗口您可以在该窗口中定义过滤条件要查看下面的右键菜单选项请右键单击特定记录显示 - 在新窗口中显示有关选中日志的更多详细信息相当于双击过滤相同的记录 - 这将激活日志过滤并且仅显示与所选记录类型相同的记录过滤 - 在单击此选项后日志过滤窗口将允许您为特定日志条目定义过滤条件启用过滤器 - 激活过滤器设置首次过滤日志时必须定义过滤条件过滤器一经设置在对其编辑前将保持不变禁用过滤器 - 关闭过滤器相当于单击底部的开关此选项仅在启用过滤后才可用复制 - 将选定的突出显示的记录的信息复制到剪贴板中全部复制 - 复制窗口中所有记录的信息删除 - 删除选定的突出显示的记录此操作需要管理员权限全部删除 - 删除窗口中的所有记录此操作需要管理员权限导出 - 将选定的突出显示的记录的信息导出到 XML 文件中全部导出 - 将窗口中的所有信息导出到 XML 文件查找 - 打开在日志中查找窗口并允许您定义搜索条件处理过滤出的内容作为缩小结果的其他方法查找下一个 - 查找之前定义的搜索如上所述的下一个匹配项查找上一个 - 查找之前定义的搜索如上所述的上一个匹配项删除诊断记录 - 删除窗口中的所有诊断记录滚动日志 - 使此选项保持为启用状态以自动滚动旧日志并在日志文件窗口中查看活动日志 43

321 扫描日志扫描日志窗口显示扫描的当前状态以及有关已找到的包含恶意代码的文件数量的信息在每一部分中显示的信息都可以复制到剪贴板键盘快捷方式为 Ctrl+C 方法是选择条目并单击复制 Ctrl 和 Shift 键可用于选择多个条目单击开关图标过滤以打开日志过滤窗口您可以在该窗口中定义过滤条件若要查看下面的右键菜单请右键单击指定的记录显示 -

44 321 扫描日志扫描日志窗口显示扫描的当前状态以及有关已找到的包含恶意代码的文件数量的信息在每一部分中显示的信息都可以复制到剪贴板键盘快捷方式为 Ctrl+C 方法是选择条目并单击复制 Ctrl 和 Shift 键可用于选择多个条目单击开关图标过滤以打开日志过滤窗口您可以在该窗口中定义过滤条件若要查看下面的右键菜单请右键单击指定的记录显示 - 在新窗口中显示有关选中日志的更多详细信息相当于双击过滤相同的记录 - 这将激活日志过滤以便仅显示与所选记录类型相同的记录过滤 - 在单击此选项后日志过滤窗口将允许您为特定日志条目定义过滤条件启用过滤器 - 激活过滤器设置首次激活过滤时必须定义设置禁用过滤器 - 禁用过滤器相当于单击底部的开关复制 - 将选定的突出显示的记录的信息复制到剪贴板中全部复制 - 复制有关窗口中所有记录的信息删除 - 删除选定的突出显示的记录此操作需要管理员权限全部删除 - 删除窗口中的所有记录此操作需要管理员权限导出 - 将选定的突出显示的记录的信息导出到 XML 文件中全部导出 - 将窗口中的所有信息导出到 XML 文件中查找 - 打开在日志中查找窗口并允许您定义搜索条件即使过滤已打开后仍可以使用查找功能找到特定记录查找下一个 - 查找定义的搜索条件的下一个匹配项查找上一个 - 查找上一个匹配项滚动日志 - 使此选项保持启用状态以自动滚动旧日志并在日志文件窗口中查看活动日志 44

45 33 扫描手动扫描程序是 ESET Mail Security 的一个重要组成部分它用于执行对计算机上的文件和文件夹的扫描为了确保网络的安全计算机扫描不应仅在怀疑有感染时运行而是应作为日常安全手段的一部分定期运行这一点非常重要我们建议您定期例如一个月一次执行系统的全面扫描以检测文件系统实时防护未检测到的病毒如果文件系统实时防护处于禁用状态时引入了威胁病毒库未更新或者在文件首次保存到磁盘时未检测文件则可能会发生这种情况有两种类型的计算机扫描可用智能扫描快速扫描系统无需进一步配置扫描参数自定义扫描允许您选择任意预定义的扫描配置文件并定义特定的扫描目标有关扫描进程的更多信息请参阅扫描进程数据库扫描允许您运行手动数据库扫描您可以选择公共文件夹邮件服务器和邮箱以进行扫描此外您可以使用计划任务在特定时间或基于某个事件运行数据库扫描如果运行的是 Microsoft Exchange Server 或 2016 可以在邮箱数据库防护和手动数据库扫描之间进行选择同一时间只能使用其中一种防护类型如果决定使用手动数据库扫描需要在服务器下的高级设置中禁用邮箱数据库防护集成否则手动数据库扫描将不可用存储扫描扫描本地服务器上的所有共享文件如果存储扫描不可用则表示您的服务器上不存在任何共享文件夹 Hyper-V 扫描如果 Hyper-V 管理器安装在运行 ESET Mail Security 的服务器上此选项将仅在菜单中可见 Hyper-V 扫描允许扫描 Microsoft Hyper-V Server 上的虚拟机 (VM) 磁盘而无需在特定虚拟机上安装任何服务器代理有关详细信息包括支持的主机操作系统和限制请参阅 Hyper-V 扫描 45

46 智能扫描 - 允许您快速启动计算机扫描和清除被感染文件而无需用户干预智能扫描的优势是便于操作不需要详细的扫描配置智能扫描检查本地驱动器上的所有文件并自动清除或删除检测到的威胁清除级别自动设置为默认值有关清除类型的更多详细信息请参阅清除我们建议您每月至少运行一次计算机扫描在工具 > 计划任务中可以将扫描配置为计划任务自定义扫描如果您要指定扫描参数如扫描目标和扫描方法等自定义扫描是一个理想的解决方案自定义扫描的优点在于可以详细配置参数配置可以保存到用户定义的扫描配置文件中这在使用相同的参数重复扫描时非常有用示例要选择扫描目标请选择计算机扫描 > 自定义扫描然后从扫描目标下拉菜单中选择某个选项或从树结构中选择特定目标也可以通过输入要包括的文件或文件夹路径指定扫描目标如果您仅想扫描系统而不进行额外的清除操作则选择扫描但不清除执行扫描时可以通过依次单击扫描 > 自定义扫描 > 设置 > ThreatSense 参数 > 清除从三个清除级别中进行选择仅建议具有病毒防护程序使用经验的高级用户使用自定义扫描来执行计算机扫描可移动磁盘扫描与智能扫描类似快速启动对已连接到计算机的可移动磁盘例如 CD/DVD/USB 的扫描这在您将 USB 闪存盘连接到计算机并想要扫描其内容是否存在恶意软件和其他潜在威胁时可能很有用此类型的扫描还可以通过以下方式启动单击自定义扫描从扫描目标下拉菜单中选择可移动磁盘然后单击扫描重复上次扫描使用完全相同的设置重复上次扫描操作如果存在手动数据库扫描则重复上次扫描不可用 331 H y p e r-v 扫描此种类型的扫描允许您扫描 Microsoft Hyper-V Server 即虚拟机 (VM) 的磁盘无需在 VM 上安装任何服务器代理使用 Hyper-V Server 的管理权限安装 ESET Security 最新版本的 Hyper-V 扫描支持在 Hyper-V 中扫描联机或脱机虚拟系统按托管 Windows Hyper-V 系统和虚拟系统状态支持的扫描类型如下所示具有 Hyper-V 功能的虚拟系统 Windows Server Windows Server Windows Server 2012 Windows Server R2 Hyper-V 2012 Hyper-V R2 Hyper-V Hyper-V 联机 VM 不扫描只读只读只读脱机 VM 只读清除只读清除只读清除只读清除硬件要求服务器在运行虚拟机时不会出现任何性能问题扫描活动主要使用 CPU 资源若要联机扫描 VM 需要可用的磁盘空间磁盘空间必须至少是检查点屏幕快照和虚拟磁盘所使用的空间的两倍特定限制由于动态磁盘本身的原因不支持在 RAID 存储跨区卷和动态磁盘上进行扫描因此我们建议尽可能在 VM 中避免使用动态磁盘类型将始终对当前 VM 执行扫描不会影响检查点或快照在群集中的主机上运行的 Hyper-V 当前并不受 ESET Mail Security 支持 Windows Server 2008 R2 上运行的 Hyper-V 主机中的虚拟机只能以只读模式进行扫描不清除不论在 ThreatSense 参数中选择了何种清除级别都是如此 46

47 如果 ESET Security 支持扫描虚拟磁盘 MBR 只读扫描是唯一受这些目标对象支持的方法可以在高级设置 > 病毒防护 > Hyper-V 扫描 > ThreatSense 参数 > 引导区中更改此设置要扫描的虚拟机处于脱机状态 - 已关闭状态 ESET Mail Security 使用 Hyper-V 管理来检测和连接到虚拟磁盘这样一来 ESET Mail Security 便可以访问虚拟磁盘的内容如同访问所有常规驱动器上的数据和文件要扫描的虚拟机处于联机状态 - 正在运行已暂停已保存状态 ESET Mail Security 使用 Hyper-V 管理来检测虚拟磁盘无法实际连接到这些磁盘因此 ESET Mail Security 创建虚拟机的检查点快照然后连接到该检查点快照扫描完成后将删除该检查点快照这意味着可以执行只读扫描因为运行中的虚拟机不会受扫描活动影响允许 ESET Security 在扫描期间创建快照或检查点的所用时间不超过 1 分钟当在大量虚拟机上运行 Hyper-V 扫描时应考虑此因素命名约定 Hyper-V 扫描模块使用以下命名约定 VirtualMachineName\DiskX\VolumeY 其中 X 是磁盘数 Y 是卷数例如 Computer\Disk0\Volume1 添加的数字后缀基于检测的顺序并且与 VM 的磁盘管理器中显示的顺序相同此命名约定用于要扫描的目标的树状列表进度条以及日志文件执行扫描可以通过 3 种方式执行扫描手动 - 单击 Hyper-V 扫描查看可用于扫描的虚拟机和卷的列表选择要扫描的虚拟机磁盘或卷然后单击扫描通过计划程序通过 ESET Remote Administrator 作为客户端任务称为服务器扫描可以同时执行多个 Hyper-V 扫描扫描完成后您会收到一条带有指向日志文件的链接的通知可能的问题执行联机虚拟机的扫描时必须创建特定虚拟机的检查点快照并且在创建检查点/快照期间可能会限制或禁用虚拟机的某些常规操作如果正在扫描脱机虚拟机在扫描完成之前将无法启动该虚拟机 Hyper-V 管理器允许您用完全相同的名称命名两个不同的虚拟机但是这会在查看扫描日志并尝试区分计算机时产生问题 34 邮件隔离邮件隔离管理器可用于所有三种隔离类型本地隔离隔离邮箱 MS Exchange 隔离区 47

如果您的邮件隔离管理器灰显这由以下原因造成您运行的 Microsoft Exchange Server 2003 和 2003 R2 或 SBS 2003 和 SBS 2003 R2 不支持此功能或者未提供 EWS Exchange Web 服务这不适用于本地隔离无论是否提供 EWS 本地隔离在所有 Exchange Server 上都能够正常工作注释邮件隔离 Web

48 如果您的邮件隔离管理器灰显这由以下原因造成您运行的 Microsoft Exchange Server 2003 和 2003 R2 或 SBS 2003 和 SBS 2003 R2 不支持此功能或者未提供 EWS Exchange Web 服务这不适用于本地隔离无论是否提供 EWS 本地隔离在所有 Exchange Server 上都能够正常工作注释邮件隔离 Web 界面是对邮件隔离管理器的替代允许您管理隔离的电子邮件对象过滤选择范围日期自和日期至)以过滤隔离的电子邮件过滤器 - 在文本框中输入字符串以过滤显示的电子邮件将搜索所有列重要信息邮件隔离管理器数据不会自动更新我们建议您定期单击刷新查看邮件隔离区中的最新项目操作发布 - 使用重播目录将电子邮件发布到初始收件人并将其从隔离区中删除单击是以确认操作注释从隔离区发布电子邮件时 ESET Mail Security 会忽略 To: MIME 标头因为它非常容易遭到欺骗它改为使用来自 SMTP 连接期间获取的 RCPT TO: 命令中的原始收件人信息这可确保正确的电子邮件收件人能够收到从隔离区中发布的邮件删除 - 从隔离区中删除项目单击是以确认操作隔离邮件详细信息 - 双击隔离的邮件或右键单击并选择详细信息将弹出一个带有关于隔离的电子邮件的详细信息窗口在 RFC 电子邮件标题中您也可以找到关于该电子邮件的一些其他信息 48

您也可以通过上下文菜单来执行此操作如果需要请单击发布删除或永久删除对已隔离的电子邮件执行操作单击是以确认操作相对于删除会从邮件隔离管理器视图中删除项目选择永久删除还可以将邮件从文件系统中删除 341 已隔离邮件详细信息该窗口包含关于类似类型原因主题发件人 SMTP 收件人

49 您也可以通过上下文菜单来执行此操作如果需要请单击发布删除或永久删除对已隔离的电子邮件执行操作单击是以确认操作相对于删除会从邮件隔离管理器视图中删除项目选择永久删除还可以将邮件从文件系统中删除 341 已隔离邮件详细信息该窗口包含关于类似类型原因主题发件人 SMTP 收件人收件人抄送日期附件和标题的隔离电子邮件的信息如果需要您可以选择复制和粘贴标题您可以使用按钮对隔离的电子邮件采取操作发布 - 使用重播目录将电子邮件发布到初始收件人并将其从隔离区中删除单击是以确认操作删除 - 从隔离区中删除项目单击是以确认操作单击删除按钮将关闭隔离的电子邮件详细信息窗口 49

50 35 更新定期更新 ESET Mail Security 是保持计算机的最高安全级别的最佳方法更新模块通过两种方式确保程序始终处于最新状态即更新病毒库和更新系统组件在主程序窗口中单击更新即可查看您的系统的当前更新状态包括上一次成功更新的日期和时间主窗口还包含病毒库版本更新版本号是一个活动链接指向给定更新中添加的病毒库的相关信息单击立即更新以检查更新更新病毒库和更新程序组件是维持全面防范恶意代码的重要组成部分上次成功更新 - 最近一次更新的日期确保是最近的日期表明病毒库是最新的病毒库版本 - 病毒库编号它也是指向 ESET 网站的活跃链接单击可以查看在给定更新中添加的所有病毒库的列表更新过程单击立即更新后将开始下载过程并显示更新进度要中断更新请单击取消更新重要信息一般情况下如果更新可正常下载消息不需要更新病毒库是最新的将显示在更新窗口中如果不是这样则表示程序不是最新的且更容易被感染请尽快更新病毒库否则会显示下列消息之一病毒库已过期 - 此错误将在几次尝试更新病毒库失败之后显示建议您检查更新设置此错误的最常见原因是错误地输入了验证数据或错误地配置了连接设置以前的通知与下列两条有关不成功更新的病毒库更新失败消息相关无效的许可证 - 更新设置中输入了错误的许可证密钥建议您检查验证数据高级设置窗口按下键盘上的 F5 中包含其他更新选项从主菜单中单击帮助和支持 > 管理许可证以输入新的许可证密钥 50

51 下载更新文件时出错 - 此错误可能由 Internet 连接设置导致建议您在 Web 浏览器中打开任意网站检查 Internet 连接如果网站打不开很可能未建立 Internet 连接或者计算机存在连接问题请与 Internet 服务提供商 (ISP) 联系以确定您是否有活动的 Internet 连接有关详细信息请访问此知识库文章 351 设置病毒库更新更新病毒库和程序组件是全面防范恶意代码的重要组成部分请其配置和操作从主菜单中转到更新然后单击立即更新检查是否有更新的病毒库 51

52 您可以从高级设置窗口按键盘上的 F5 键配置更新设置若要配置高级更新选项如更新模式代理服务器访问局域网连接和病毒库副本设置镜像请依次单击更新 > 配置文件如果更新出现了问题请单击清除以清除临时更新缓存 52

53 默认情况下更新服务器菜单设置为自动选择自动选择意味着将自动选中更新服务器病毒库下载的来源建议您保持选中默认的选项如果您不希望屏幕右下角的系统托盘通知出现请选择禁用显示关于成功更新的通知自动更新程序对获得最佳功能非常重要只有在帮助和支持 > 激活许可证中输入了正确的许可证密钥时才可以执行此操作如果您在安装后没有激活产品您可以随时激活产品有关激活的详细信息请参阅如何激活 ESET Mail Security 并将您随 ESET 安全产品收到的许可证数据输入到许可证详细信息窗口中 53

352 配置代理服务器进行更新如果在已安装 ESET Mail Security 的系统上将代理服务器用于 Internet 连接则必须在高级设置中配置代理设置若要访问代理服务器配置窗口请按 F5 打开高级设置窗口然后依次单击更新 > 配置文件 > HTTP 代理从代理模式下拉菜单中选择通过代理服务器连接并填写您的代理服务器详细信息:代理服务器(IP 地址)

54 352 配置代理服务器进行更新如果在已安装 ESET Mail Security 的系统上将代理服务器用于 Internet 连接则必须在高级设置中配置代理设置若要访问代理服务器配置窗口请按 F5 打开高级设置窗口然后依次单击更新 > 配置文件 > HTTP 代理从代理模式下拉菜单中选择通过代理服务器连接并填写您的代理服务器详细信息:代理服务器(IP 地址) 端口号用户名和密码(如果适用) 如果您不确定代理服务器的详细信息可以从下拉列表中选择使用全局代理服务器设置以自动检测代理设置对于不同的更新配置文件代理服务器选项可能也有所不同如果是这种情况请在高级设置中通过依次单击以下各项来配置不同的更新配置文件更新 > 配置文件如果代理不可用请使用直接连接 - 如果产品配置为利用 HTTP 代理但该代理不可访问该产品将绕过代理直接与 ESET 服务器通信 54

55 36 设置设置菜单包含以下部分服务器计算机工具要暂时禁用单个模块请单击要禁用的模块旁边的绿色开关这可能会降低对您的计算机的保护级别要重新启用已禁用的安全组件的防护请单击红色开关以使组件返回其启用状态若要访问特定安全组件的详细设置请单击齿轮图标单击高级设置或按 F5 以配置高级设置在设置窗口的底部还有其他选项若要使用 xml 配置文件加载设置参数或将当前设置参数保存为配置文件请使用导入导出设置有关更多详细信息请参阅导入导出设置 55

56 361 服务器您将看到可使用开关启用禁用的组件列表若要配置特定项的设置请单击齿轮病毒防护 - 通过控制文件电子邮件和 Internet 通信防范恶意系统攻击反垃圾邮件防护 - 集成了多种技术 RBL DNSBL 指纹验证信誉检查内容分析规则手动白名单黑名单等来最大程度地检测电子邮件威胁自动排除功能可识别重要的服务器应用程序和服务器操作系统文件并自动将它们添加到排除列表此功能可将潜在冲突的风险降至最低并在运行病毒防护软件时提高服务器的整体性能若要设置 ESET 群集请单击群集向导有关如何使用向导设置 ESET 群集的详细信息请单击此处如果要设置更多详细选项请单击高级设置或按 F5 在设置窗口的底部还有其他选项若要使用 xml 配置文件加载设置参数或将当前设置参数保存为配置文件请使用导入导出设置有关详细信息请参阅导入导出设置 362 计算机 ESET Mail Security 具有用于确保将服务器作为计算机进行重点保护的所有必需组件每个组件都提供特定类型的防护例如病毒和间谍软件防护文件系统实时防护 Web 访问保护电子邮件客户端防护网络钓鱼防护等计算机部分可以在设置 > 计算机下找到您将看到可启用禁用使用开关项的设置请单击齿轮图标的组件的列表若要配置特定对于文件系统实时防护还可选择编辑排除这将打开排除设置窗口您可以从中排除不扫描的文件和文件夹暂停病毒和间谍软件防护 - 在您临时禁用病毒和间谍软件防护时可以使用下拉菜单选择您希望禁用所选组 56

件的时间段然后单击应用以禁用该安全组件要重新启用防护请单击启用病毒和间谍软件防护计算机模块允许您启用禁用并配置以下组件文件系统实时防护 - 在计算机上打开创建或运行任何文件时都将扫描该文件是否带有恶意代码文档防护 - 文档防护功能会在打开 Microsoft Office 文档之前对其进行扫描还会扫描通过 Internet Explorer 自动下载的文件如

57 件的时间段然后单击应用以禁用该安全组件要重新启用防护请单击启用病毒和间谍软件防护计算机模块允许您启用禁用并配置以下组件文件系统实时防护 - 在计算机上打开创建或运行任何文件时都将扫描该文件是否带有恶意代码文档防护 - 文档防护功能会在打开 Microsoft Office 文档之前对其进行扫描还会扫描通过 Internet Explorer 自动下载的文件如 Microsoft ActiveX 元素默认情况下文档防护处于禁用状态如果需要您可以通过单击开关图标轻松地启用它设备控制 - 此模块允许您扫描阻止或调整扩展的过滤器权限并定义用户是否能够访问和使用给定设备 HIPS - HIPS 系统监视操作系统内发生的事件并按照自定义的规则集进行响应演示模式 - 为那些需要不中断其使用软件不希望被弹出窗口打扰并希望尽量减少 CPU 使用的用户提供的功能启用演示模式后您将收到警告消息潜在安全风险主程序窗口将变为橙色反隐藏防护 - 提供对可在操作系统下隐藏自己的危险程序的检测例如 Rootkit 这意味着使用普通测试技术很难检测到它们 Web 访问保护 - 如果启用将扫描所有 HTTP 或 HTTPS 通信以查看是否有恶意软件电子邮件客户端防护 - 监视通过 POP3 和 IMAP 协议接收的通信网络钓鱼防护 - 防止冒充合法网站的非法网站尝试获取密码银行数据和其他敏感信息从而为您提供保护在设置窗口的底部还有其他选项若要使用 xml 配置文件加载设置参数或将当前设置参数保存为配置文件请使用导入导出设置有关详细信息请参阅导入导出设置如果要设置更多详细选项请单击高级设置或按 F5 57

58 363 工具诊断日志记录 - 当您单击开关以启用诊断日志记录时可以选择启用该功能的时间 10 分钟 30 分钟 1 小时 4 小时 24 小时直到下一次服务器重启或永久单击齿轮图标启用时 58 后将打开高级设置窗口可在此窗口中配置哪些组件可编写诊断日志在诊断日志记录已

59 在选定时段内启用诊断日志记录 364 导入和导出设置依次单击设置 > 导入导出设置访问您的 ESET Mail Security 的导入导出设置导入和导出都使用 xml 文件类型如果您需要备份 ESET Mail Security 的当前配置导入和导出十分有用以后可将其用于对其他计算机应用相同的设置如果您没有权限将导出的文件写入到指定目录则在导出设置时可能会遇到错误 59

60 37 工具工具菜单包含的模块可帮助简化程序管理并提供附加选项它包含以下工具运行进程查看活动 ESET Shell 防护统计集群 ESET SysInspector ESET SysRescue Live 计划任务提交样本以供分析隔离区 60

371 运行进程运行进程显示计算机上运行的程序或进程并保持 ESET 立刻持续获知新入侵 ESET Mail Security 提供有关运行的进程的详细信息以通过启用 ESET LiveGrid 技术来保护用户风险级别 - 在大多数情况下 ESET Mail Security 和 ESET LiveGrid 技术使用一系列启发式规则检查每个对象的特性然后评估恶意活动的可能性

61 371 运行进程运行进程显示计算机上运行的程序或进程并保持 ESET 立刻持续获知新入侵 ESET Mail Security 提供有关运行的进程的详细信息以通过启用 ESET LiveGrid 技术来保护用户风险级别 - 在大多数情况下 ESET Mail Security 和 ESET LiveGrid 技术使用一系列启发式规则检查每个对象的特性然后评估恶意活动的可能性将风险级别指定给对象文件过程注册表项等基于这些启发式扫描会向对象指定风险级别级别从 1 - 良好绿色到 9 - 危险红色进程 - 当前在计算机上运行的程序或进程的映像名称要查看计算机上运行的所有进程还可以使用 Windows 任务管理器可以通过右键单击任务栏中的空白区域然后单击任务管理器或者通过按下键盘上的 Ctrl+Shift +Esc 来打开任务管理器 PID - 是在 Windows 操作系统中运行的进程的 ID 标记为良好绿色的已知应用程序肯定干净白名单并将排除扫描因为这样将改善手动计算机扫描的扫描速度或计算机上的文件系统实时防护用户数量 - 使用给定应用程序的用户数量此信息由 ESET LiveGrid 技术收集发现时间 - 自从应用程序被 ESET LiveGrid 技术发现以来的时段当应用程序被标记为未知橙色时它不一定就是恶意软件通常它是一个较新的应用程序如果您对文件不确定请使用提交样本以供分析功能将该文件发送到 ESET 病毒实验室如果证实文件是一个恶意应用程序则以后的某个病毒库更新中将增加对它的检测应用程序名称 - 此进程所属程序的给定名称 61

通过单击底部的给定应用程序以下信息将显示在窗口底部路径 - 计算机上应用程序的位置大小 - 以 kb 千字节或 MB 兆字节为单位的文件大小说明 - 基于操作系统说明的文件特性公司 - 供应商或应用程序进程的名称版本 - 来自应用程序发布者的信息产品 - 应用程序名称和或企业名称创建日期 - 创建应用程序的日期和时间修改日期 -

62 通过单击底部的给定应用程序以下信息将显示在窗口底部路径 - 计算机上应用程序的位置大小 - 以 kb 千字节或 MB 兆字节为单位的文件大小说明 - 基于操作系统说明的文件特性公司 - 供应商或应用程序进程的名称版本 - 来自应用程序发布者的信息产品 - 应用程序名称和或企业名称创建日期 - 创建应用程序的日期和时间修改日期 - 最后一次修改应用程序的日期和时间还可以对不充当运行程序进程的文件检查信誉 - 标记要检查的文件右键单击它们然后从右键菜单中依次选择高级选项 > 使用 ESET LiveGrid 检查文件信誉 372 查看活动若要以图表形式查看当前文件系统活动和邮件服务器活动请单击工具 > 查看活动图表的底部是时间线用于实时记录选定时间范围内的文件系统活动使用刷新率下拉菜单更改更新频率 62

图表将仅显示该活动类型的数据 3721 时段选择选择要在图表中查看的文件系统活动或邮件服务器活动的月份和年份 373 防护统计若要在 ESET Mail Security 中查看有关防护模块的统计数据图表请依次单击工具 > 防护统计

63 有以下选项可供使用 1 秒 - 图表每秒刷新一次时间线范围为最后 10 分钟 1 分钟(最后 24 小时) - 图表每分钟刷新一次时间线范围为最后 24 小时 1 小时(最后一个月) - 图表每小时刷新一次时间线范围为最后一个月 1 小时(选定月份) - 图表每小时刷新一次时间线范围为选定的月份单击更改月份按钮进行其他选择文件系统活动图表的纵轴表示读取的数据量蓝色和写入的数据量红色这两个值均以 KB 千字节 MB/ GB 为单位如果将鼠标移到图表下方图例中的读取数据或写入数据的上方图表将仅显示该活动类型的数据 3721 时段选择选择要在图表中查看的文件系统活动或邮件服务器活动的月份和年份 373 防护统计若要在 ESET Mail Security 中查看有关防护模块的统计数据图表请依次单击工具 > 防护统计从下拉菜单中选择所需的保护模块以查看相应的图表和图例将鼠标移至图例中的某个项目以在图表中显示该项目的数据以下统计图表可供使用病毒和间谍软件防护 - 显示被感染对象和已清除对象的总数文件系统防护 - 仅显示已读取或写入文件系统的对象电子邮件客户端防护 - 仅显示电子邮件客户端发送或接收的对象 63

64 邮件服务器防护 - 显示病毒和间谍软件防护邮件服务器统计信息 Web 访问和网络钓鱼防护 - 仅显示 Web 浏览器下载的对象邮件服务器反垃圾邮件防护 - 显示反垃圾邮件统计信息的历史记录未扫描数指的是从扫描中已排除的对象基于规则内部邮件已验证连接等邮件服务器灰名单防护 - 包括使用灰名单方法生成的反垃圾邮件统计信息邮件传输防护活动 - 显示邮件服务器验证阻止删除的对象邮件传输防护性能 - 显示由 VSAPI/传输代理处理的数据 (B/s) 邮箱数据库防护活动 - 显示 VSAPI 处理的对象验证隔离和删除的对象数邮箱数据库防护性能 - 显示 VSAPI 处理的数据今天过去 7 天的不同平均数和自从上次重置的平均数在统计图表旁边您可以看到所有已扫描对象数被感染对象数已清除对象数和干净对象数单击重置以清除统计信息或单击全部重置以清除并删除所有现有数据 374 集群 ESET 群集是 Microsoft Windows Server 的 ESET 产品线的 P2P 通信基础架构此基础架构使 ESET 服务器产品能够相互通信和交换数据例如配置和通知还可以同步灰名单数据库以及同步正确操作产品实例组所需的数据此组的一个示例是安装了 ESET 产品的 Windows 故障转移群集或网络负载平衡 (NLB) 群集中的一个节点组在该群集中需要使整个群集上的产品配置都一致 ESET 群集可确保实例之间的一致性用户界面设置在 ESET 群集节点之间不会同步正确配置后 ESET 群集状态页可从工具 > 群集的主菜单访问且该状态页应如下所示若要设置 ESET 群集请单击群集向导有关如何使用向导设置 ESET 群集的详细信息请单击此处设置 ESET 群集时有两种添加节点的方式使用现有的 Windows 故障转移群集 NLB 群集自动添加或通过浏览 64

65 工作组或域中的计算机手动添加自动检测 - 自动检测已经是 Windows 故障转移群集 NLB 群集成员的节点并将其添加到 ESET 群集浏览 - 您可以通过键入服务器名称同一工作组的成员或同一域的成员手动添加节点若要使用 ESET 群集功能服务器不一定要是Windows 故障转移群集 NLB 群集的成员若要使用 ESET 群集环境中并不需要 Windows 故障转移群集或 NLB 群集将节点添加到 ESET 群集后下一步是在每个节点上安装 ESET Mail Security 此操作已在 ESET 群集设置期间自动完成在其他群集节点上远程安装 ESET Mail Security 所需的凭据域方案 - 域管理员凭据工作组方案 - 您需要确保所有节点使用相同的本地管理员帐户凭据在 ESET 群集中您还可以使用自动添加为现有 Windows 故障转移群集 NLB 群集成员的节点以及手动添加的节点前提是它们位于相同的域中的组合无法合并域节点和工作组节点使用 ESET 群集的另一项要求是必须先在 Windows 防火墙中启用文件和打印机共享然后才能在 ESET 群集节点上使用 ESET Mail Security 解决方案单击销毁群集可清除 ESET 群集每个节点都会在它们的事件日志中写入一条关于 ESET 群集销毁的记录之后所有 ESET 防火墙规则都将从 Windows 防火墙中删除之前的节点将恢复为其以前的状态并且可再次用于其他 ESET 群集如有必要在 ESET Mail Security 和 ESET File Security for Linux 之间创建 ESET 群集不受支持可以随时将新的节点添加到现有的 ESET 群集方法是采用上面以及此处所述的方式运行群集向导 65

3741 群集向导第 1 页设置 ESET 群集的第一步是添加节点您可以使用自动检测选项或浏览来添加节点或者您可以在文本框中键入服务器名称然后单击添加自动检测可从现有 Windows 故障转移群集网络负载平衡 (NLB) 群集中自动添加节点若要自动添加节点您用来创建 ESET 群集的服务器需是此 Windows 故障转移群集 NLB 群集的成员 NLB

66 3741 群集向导第 1 页设置 ESET 群集的第一步是添加节点您可以使用自动检测选项或浏览来添加节点或者您可以在文本框中键入服务器名称然后单击添加自动检测可从现有 Windows 故障转移群集网络负载平衡 (NLB) 群集中自动添加节点若要自动添加节点您用来创建 ESET 群集的服务器需是此 Windows 故障转移群集 NLB 群集的成员 NLB 群集必须在群集属性中启用允许远程控制功能以便 ESET 群集能够正确检测到节点在获取新添加的节点列表后可以删除不需要的节点单击浏览来查找并选择域或工作组中的计算机此方法允许手动将节点添加到 ESET 群集另一种添加节点的方式是通过键入您想要添加的服务器的主机名然后单击添加若要修改列表中的群集节点选择您想要删除的节点并单击删除或单击全部删除以完全清除列表如果您现在已有 ESET 群集则可以随时向其添加新节点这些步骤与上面所述的步骤相同列表中保留的所有节点都必须联机且可读默认情况下本地主机将添加到群集节点中 66

67 3742 群集向导第 2 页定义群集名称证书分发模式以及是否在其他节点上安装产品群集名称 - 键入您的群集名称侦听端口 - 默认端口为 9777 在 Windows 防火墙中打开端口 - 如果选择的规则已在 Windows 防火墙中创建证书分发自动远程 - 证书将自动安装手动 - 在您单击生成时浏览窗口将打开选择要在其中存储证书的文件夹将创建一个根证书并且将为每个节点包括您用于设置 ESET 群集的节点本地计算机创建一个证书然后通过单击是选择将证书注册到本地计算机稍后您将需要手动导入证书如此处所述产品安装到其他节点自动远程 - ESET Mail Security 将在每个节点上自动安装前提是它们的操作系统都采用相同的架构手动 - 如果您想要手动安装 ESET Mail Security 例如当您在某些节点上拥有不同的操作系统架构时则选择此选项在未激活产品的情况下将许可证推送到节点 - 选择此选项使 ESET Security 不使用许可证也可自动激活安装在节点上的 ESET 解决方案如果您想要使用混合操作系统架构 32 位和 64 位创建 ESET 群集则需要手动安装 ESET Mail Security 后续步骤将检测所使用的操作系统您将在日志窗口中看到此信息 67

68 3743 群集向导第 3 页指定安装详细信息后节点检查将运行以下信息将显示在节点检查日志中 68 验证所有现有节点均处于联机状态验证新节点可供访问节点处于联机状态管理员共享可供访问可以进行远程执行已安装正确的产品版本或者没有产品验证是否存在新的证书

69 完成节点检查后您即可看到报告 69

70 3744 群集向导第 4 页在 ESET 集群初始化期间安装到远程计算机上时该向导将尝试在 %ProgramData\ESET\<Product_name>\Installer 目录中查找安装程序如果在该处找不到安装程序包系统将要求您指示安装程序文件的位置尝试将自动远程安装用于具有不同架构 32 位与 64 位的节点时会检测到该情况然后提示您执行手动安装 70

71 如果某些节点上安装了较旧版本的 ESET Mail Security 系统将告知您需要在这些计算机上安装最新版本更新 ESET Mail Security 可能会导致自动重新启动 71

72 正确配置 ESET 群集后它将在设置 > 服务器页中显示为已启动 72

此外还可以从群集状态页工具 > 群集中检查其当前状态导入证书 - 导航到包含证书在使用群集向导期间生成的文件夹选择证书文件并单击打开 375 E S E T S he ll eshell ESET Shell 的简称是 ESET Mail Security 的命令行界面它是图形用户界面 (GUI) 的替代 eshell 包含 GUI 通常提供给您的所有功能和选项 eshell

73 此外还可以从群集状态页工具 > 群集中检查其当前状态导入证书 - 导航到包含证书在使用群集向导期间生成的文件夹选择证书文件并单击打开 375 E S E T S he ll eshell ESET Shell 的简称是 ESET Mail Security 的命令行界面它是图形用户界面 (GUI) 的替代 eshell 包含 GUI 通常提供给您的所有功能和选项 eshell 允许您配置和管理整个程序而无需使用 GUI 除了在 GUI 中提供的所有功能和特性它还通过运行脚本来配置修改配置或执行操作来提供实现自动化的可能性此外 eshell 对于喜欢使用命令行而非 GUI 的用户可能比较有用 eshell 的运行模式有两种交互模式当您想要使用 eshell 不仅仅执行单个命令执行更改配置查看日志等任务时它会很有用即使您还不熟悉所有命令也可以使用交互模式在 eshell 中导航时交互模式可以使之更容易它还显示可以在特定上下文中使用的命令单个命令批处理模式如果您仅需要执行单个命令则可以使用该模式而无需进入 eshell 的交互模式若要执行此操作可以在 Windows 命令提示下键入 eshell 以及相应参数例如 eshell get status 或 eshell set antivirus status disabled 为了在批处理脚本模式下运行某些命令例如上述第二个示例您需要首先配置几个设置否则您会收到访问被拒绝消息这是出于安全考虑要获取完整功能我们建议您使用以管理员身份运行来打开 eshell 通过 Windows 命令提示 (cmd) 运行单个命令时也可使用此方法使用以管理员身份运行打开提示无法以管理员身份运行命令提示将因为缺少权限而阻止您运行命令 73

若要允许在 Windows 命令提示符下使用 eshell 命令需要更改设置有关运行批处理文件的进一步信息请单击此处进入 eshell 中的交互模式有两种方法通过 Windows 开始菜单开始 > 所有程序 > ESET >ESET Mail Security > ESET Shell 在 Windows 命令提示下键入 eshell 并按 Enter 键重要信息

74 若要允许在 Windows 命令提示符下使用 eshell 命令需要更改设置有关运行批处理文件的进一步信息请单击此处进入 eshell 中的交互模式有两种方法通过 Windows 开始菜单开始 > 所有程序 > ESET >ESET Mail Security > ESET Shell 在 Windows 命令提示下键入 eshell 并按 Enter 键重要信息如果您收到一条错误 'eshell' is not recognized as an internal or external command 这是由于在安装 ESET Mail Security 后系统无法加载新环境变量打开新的命令提示然后重新尝试启动 eshell 如果您仍然收到错误或拥有 ESET Mail Security 的核心安装请使用绝对路径启动 eshell 例如 "%PROGRAMFILES%\ESET\ESET Mail Security\eShellexe" 必须使用才能运行命令当您第一次在交互模式下运行 eshell 时将显示首次运行指南屏幕如果想要在将来首先显示运行屏幕则键入guide 命令它介绍了如何将 eshell 与语法前缀命令路径缩写格式别名等一起使用的一些基本示例下次运行 eshell 时您将看到此屏幕命令不区分大小写无论使用大写还是小写字母都将执行该命令自定义 eshell 您可以自定义 eshell 在 ui 等 74 eshell 上下文中您可以配置别名颜色语言脚本的执行策略隐藏命令的设置

75 3751 用法语法用正确的语法编写命令格式命令才有效命令可以由前缀上下文自变量和选项等组成这是 eshell 中常用的语法 [<前缀>] [<命令路径>] <命令> [<自变量>] 示例这将激活文档防护 SET ANTIVIRUS DOCUMENT STATUS ENABLED SET - 前缀 - 特定命令的路径此命令所属的上下文 - 命令本身 ENABLED - 命令的自变量 ANTIVIRUS DOCUMENT STATUS 使用? 作为命令的参数将显示该特定命令的语法例如 STATUS? 将向您显示 STATUS 命令的语法语法 [get] status set status enabled disabled 您可能到[get] 使用了方括号它表示前缀get 是 status 命令的默认前缀这意味着当您执行status 而不指定任何前缀时实际将使用默认前缀在此情况下为 get status 使用无前缀的命令可在键入时节省时间通常 get 是大多数命令的默认前缀但您需要清楚特定命令的默认前缀是什么而且它确实是您想执行的命令不区分大小写无论使用大写还是小写字母命令将同样执行前缀操作前缀表示一种操作 GET 前缀将提供如何配置 ESET Mail Security 的特定功能的信息或显示状态例如GET ANTIVIRUS STATUS 将显示当前防护状态 SET 前缀将配置功能或更改其状态 SET ANTIVIRUS STATUS ENABLED 将激活防护这些是 eshell 允许您使用的前缀命令可能支持也可能不支持其中一些前缀 - 返回当前设置状态 - 设置值状态 SELECT - 选择项目 ADD - 添加项目 REMOVE - 删除项目 CLEAR - 删除所有项目文件 START - 开始操作 STOP - 停止操作 PAUSE - 暂停操作 RESUME - 继续操作 RESTORE - 恢复默认设置对象文件 SEND - 发送对象文件 IMPORT - 从文件导入 EXPORT - 导出到文件 GET SET 类似GET 和 SET 的前缀可用于许多命令但某些命令例如EXIT 则不使用前缀命令路径上下文命令被放置在形成树结构的上下文中树结构的顶层是根目录当运行 eshell 时您处于根目录级 eshell> 75

76 您可以从此处执行命令也可以输入上下文名称在树中导航例如当您输入TOOLS 上下文时将列出所有命令和此处可用的子上下文黄色项目是可以执行的命令灰色项目是可以输入的子上下文子上下文包含更多命令如果需要返回到上一级则使用两个点例如假设您在此位置 eshell antivirus startup> 键入以向上一级达到 eshell antivirus> 如果想要从eShell antivirus startup> 比根目录低两级返回到根目录只要键入两个点和由空格隔开的另外两个点即可这样您将向上两级在此情况下为根目录使用反斜杠\ 从任意层级直接返回到根无论您处在上下文树结构中的哪一个层级如果您想要访问较高级别的特定上下文只需使用相应数目的命令即可访问所需层级使用空格作为分隔符例如如果您想要访问三个更高级别则使用路径相对于当前上下文如果命令包含在当前上下文中则不输入路径例如要执行GET 则输入 - 如果在根上下文中命令行显示 eshell>) - 如果在上下文ANTIVIRUS 中命令行显示eShell antivirus>) STATUS - 如果在上下文ANTIVIRUS STARTUP 命令行将显示eShell antivirus ANTIVIRUS STATUS GET ANTIVIRUS STATUS GET STATUS GET startup> ) 您可以使用一个点而不是两个因为一个点是两个点的缩写例如 GET STATUS - 如果在上下文ANTIVIRUS STARTUP 命令行将显示eShell 自变量自变量是为特定命令执行的操作例如命令CLEAN-LEVEL 位于ANTIVIRUS 一起使用 antivirus startup> ) REALTIME ENGINE 中可以与以下参数 - 不清除 - 正常清除 strict - 严格清除 no normal 另一个例子是自变量ENABLED 或DISABLED 它们用于启用或禁用特定特性或功能缩写格式简写命令 eshell 允许您简写上下文命令和自变量如果自变量是开关或备用选项如果前缀或自变量是类似数字名称或路径的具体值则无法简写 76

77 您可以使用一个1 和0 而非enabled 和disabled 参数例如 set status enabled set status disabled => => set stat 1 => set stat en set stat 0 简写格式示例 set status enabled add antivirus common scanner-excludes C:\path\fileext => add ant com scann C:\path\fileext 如果有两个命令或上下文以相同字母开始例如ABOUT 和ANTIVIRUS 而且输入A 作为简写的命令 eshell 将不能决定您想运行这两个命令中的哪一个它将显示错误消息并列出以 A 开头的命令供您选择 eshell>a 以下命令不是唯一的 a 以下命令在此上下文中可用 ABOUT - 显示有关程序的信息 ANTIVIRUS - 对上下文病毒防护进行的更改通过添加一个或多个字母例如AB 而不仅仅是A) eshell 将执行ABOUT 命令因为它现在是唯一的当您想要确保命令以需要的方式执行时我们建议不要缩写命令自变量等而是使用完整格式这样可以按您的需要精确执行防止出现不希望发生的错误对于批处理文件脚本尤其是这样自动完成 eshell 20 eshell 中引入的此新功能与 Windows 命令提示中的自动完成非常相似只不过 Windows 命令提示完成文件路径而 eshell 完成命令上下文和操作名称不支持参数完成只需在键入命令时按 Tab 即可填充或循环浏览可用变体按 Shift + Tab 可循环后退不支持混合缩写形式和自动完成使用两者中的一种例如当您键入antivir real scan 点击 Tab 将不起任何作用应改为键入antivir 然后点击 Tab 以填充antivirus 继续键入 real 同时点击 Tab 并键入 scan 同时点击 Tab 随后可以通过所有可用变体进行循环 scan-create scanexecute scan-open 等等别名别名是可以用来执行命令的备用名称假设已为命令指定了别名下面是一些默认别名 - 退出 - 退出 (global) bye - 退出 warnlog - 工具日志事件 virlog - 工具日志检测 (global) close (global) quit antivirus on-demand log - 工具日志扫描 (global) 表示命令可以用在任何地方而不管当前的上下文如何一个命令可以指定多个别名例如命令EXIT 具有别名CLOSE, QUIT 和BYE 当您想要退出 eshell 时可以使用EXIT 命令本身或其任意别名别名VIRLOG 是命令 DETECTIONS 的别名该命令位于TOOLS LOG 上下文中这样检测命令在ROOT 上下文中将可用从而更便于访问您不必输入TOOLS 然后再输入LOG 上下文而是从ROOT) eshell 允许您定义自己的别名命令ALIAS 可在以下位置找到 UI ESHELL 上下文密码保护设置 ESET Mail Security 设置可由密码保护您可以设置使用 GUI 的密码或 eshell 使用set ui access lock-password 然后您将必须以交互方式为某些命令例如更改设置或修改数据的命令输入此密码如果您计划长期使用 eshell 并且不希望重复输入密码您可以使用以下命令使 eshell 记住密码 set password 随后即可为每个需要密码的执行命令自动填写您的密码只要不退出 eshell 它将一直记住密码这意味着在以下情况中您需要再次使用set password 当您启动新会话并希望 eshell 记住您的密码时指南帮助当您运行GUIDE 或HELP 命令时它将显示首次运行屏幕解释如何使用 eshell 此命令在ROOT 上下文中可用 eshell> ) 77

78 命令历史记录 eshell 保留以前执行的命令的历史记录这仅应用于当前 eshell 交互会话一旦退出 eshell 命令历史记录将被废弃使用键盘上的向上和向下箭头键可在历史记录中浏览一旦找到所寻找的命令就可以再次执行它或修改它而无需从头键入整个命令 CLS/清除屏幕 CLS 命令可用于清除屏幕它的工作方式与 Windows 命令提示相同或与命令行界面相似 EXIT / CLOSE / QUIT / BYE 要关闭或退出 eshell 您可以使用以下任意命令 EXIT, CLOSE, QUIT 或BYE) 3752 命令本节列出了几个基本 eshell 命令及其说明命令不区分大小写无论使用大写还是小写字母命令将同样执行示例命令包含在 ROOT 上下文中 ABOUT 列出有关程序的信息它显示如下信息安装的 ESET 安全产品名称及其版本号操作系统和基本硬件详细信息用户名包括域计算机全名如果服务器是域成员则为 FQDN 和席位名称已安装的 ESET 安全产品组件包括每个组件的版本号上下文路径 root PASSWORD 通常出于安全原因若要执行受密码保护的命令将提示您键入密码它应用于类似禁用病毒防护和可能影响 ESET Mail Security 配置的命令每次执行这样的命令时都会提示您输入密码为了避免每次都输入密码可以定义此密码 eshell 将记住该密码并在执行受密码保护的命令时自动输入它您的密码仅对于当前 eshell 交互会话起作用一旦退出 eshell 该定义的密码将被废弃再次启动 eshell 时需要重新定义密码在运行没有签名的批处理文件或脚本时还可使用定义的密码运行没有签名的批处理文件时请确保将 ESET Shell 执行策略设置为完全访问以下是此类批处理文件的示例 eshell set password plain <yourpassword> "&" set status disabled 上述连接命令定义密码和禁用防护重要信息我们建议您随时使用签名的批处理文件这样可避免批处理文件中存在纯文本密码如果使用上述方法有关详细信息请参阅批处理文件脚本已签名的批处理文件部分上下文路径 root 语法 [get] restore password set password [plain <password>] 78

79 操作 get - 显示密码 set - 设置或清除密码 restore - 清除密码自变量 plain - 切换到输入密码作为参数 password - 密码示例 set password plain <yourpassword> restore password - 设置密码该密码将用于受密码保护的命令 - 清除密码示例 get password - 使用此命令可查看密码是否已配置密码将仅显示为星号不会列出密码本身如果看不到星号表示还未设置密码 set password plain <yourpassword> restore password - 使用此命令设置定义的密码 - 此命令会清除已定义的密码 STATUS 显示有关 ESET Mail Security 当前保护状态的信息类似于 GUI 上下文路径 root 语法 [get] restore status set status disabled enabled 操作 get - 显示病毒防护状态 set - 禁用启用病毒防护 restore - 恢复默认设置自变量 disabled enabled - 禁用病毒防护 - 启用病毒防护示例 get status - 显示当前防护状态 set status disabled restore status - 禁用防护 - 恢复对默认设置的防护已启用 VIRLOG 这是 DETECTIONS 命令的别名当您需要查看有关检测到的渗透的信息时它会很有用 WARNLOG 这是 EVENTS 命令的别名当您需要查看有关各种事件的信息时它会很有用 79

80 3753 批处理文件脚本您可以将 eshell 用作强大的脚本工具以实现自动化若要将批处理文件与 eshell 结合使用请使用 eshell 创建一个批处理文件并在其中编写命令例如 eshell get antivirus status 还可以链接命令有时候这是必要的例如如果您想要键入特定的计划任务输入以下命令 eshell select scheduler task 4 "&" get scheduler action 项目选择在本例中为 4 号任务通常仅适用于当前正在运行的 eshell 实例如果您要依次运行这两个命令则第二个命令将会失败并显示错误未选择任务或选择的任务已不存在出于安全原因默认情况下执行策略设置为受限脚本这允许您将 eshell 用作监视工具但不允许您通过运行脚本对 ESET Mail Security 进行配置更改如果您尝试使用会影响安全性的命令例如禁用防护执行脚本会显示访问被拒绝消息我们建议您使用已签名的批处理文件执行对配置进行更改的命令若要在 Windows 命令提示符下通过手动输入单个命令来更改配置您必须授予 eshell 完全访问权限不建议若要授予完全访问权限请使用ui eshell shell-execution-policy 在 eshell 本身的交互模式下也可以通过高级设置 > 用户界面 > ESET Shell 中的 GUI 完成此操作已签名的批处理文件 eshell 允许您使用签名保护常用批处理文件 (*bat) 使用与用于设置保护的同一密码对脚本进行签名为了对脚本进行签名您需要先启用设置保护可以通过 GUI 或者在 eshell 内使用set ui access lock-password 命令完成此操作当设置保护密码选择设置后您可以开始对批处理文件进行签名若要对批处理文件进行签名请运行sign <scriptbat> 在 eshell 的根上下文中其中 scriptbat 是您要进行签名的脚本的路径输入并确认将用于进行签名的密码此密码必须与您的设置保护密码相匹配签名以注释的形式置于批处理文件的末尾如果此脚本已进行过签名则该签名将替换为新的签名当您修改之前进行过签名的批处理文件时必须对该文件进行重新签名更改设置保护密码后必须对所有脚本重新签名否则这些脚本将无法执行以下密码更改对脚本签名时输入的密码必须与目标系统上的设置保护密码相匹配若要在 Windows 命令提示符下或作为计划任务执行已签名的批处理文件请使用以下命令 eshell run <scriptbat> 其中 scriptbat 是批处理文件的路径例如 eshell run d:\myeshellscriptbat 376 E S E T S y s Ins p e c to r ESET SysInspector 是一个可彻底检查计算机收集有关系统组件例如已安装的驱动程序和应用程序网络连接或重要注册表条目的详细信息以及评估每个组件风险级别的应用程序该信息有助于确定可能由于软硬件不兼容或恶意感染而导致出现可疑系统行为的原因 ESET SysInspector 窗口显示下列有关已创建的日志的信息时间 - 日志创建时间 - 简短注释用户 - 创建日志的用户的姓名状态 - 日志创建的状态可用操作包括 80 打开 - 打开已创建的日志还可以右键单击日志然后从右键菜单中选择显示比较 - 比较两个现有日志创建 - 创建新日志在 ESET SysInspector 日志完成状态显示为已创建之前请稍候删除 - 删除列表中选定的日志

81 右键单击一个或多个选定日志后可从右键菜单中使用以下选项显示 - 在 ESET SysInspector 中打开选定日志相当于双击日志比较 - 比较两个现有日志创建 - 创建新日志在 ESET SysInspector 日志完成状态显示为已创建之前请稍候删除 - 删除列表中选定的日志全部删除 - 删除所有日志导出 - 将日志导出为 xml 文件或压缩的 xml 3761 创建计算机状态快照输入要创建的日志的简短注释然后单击添加按钮在 ESET SysInspector 日志完成状态显示为已创建之前请稍候日志创建可能需要一些时间具体取决于您的硬件配置和系统数据 377 E S E T S y s R e s c ue Liv e ESET SysRescue Live 是一种实用程序使您能够创建包含一种 ESET Security 解决方案 ESET NOD32 Antivirus ESET Smart Security 或某些面向服务器的产品的可引导磁盘 ESET SysRescue Live 的主要优点是 ESET Security 解决方案独立于主机操作系统运行并具有直接访问磁盘和文件系统的权限凭借此功能您可以删除那些通常无法删除的渗透例如在操作系统运行时等 378 计划任务计划任务可以在主程序窗口的工具部分找到计划任务根据已定义的参数管理和启动计划任务计划任务包含表格形式的所有计划任务列表表格中会显示任务参数如任务类型任务名称启动时间和上次运行时间有关详细信息请双击某个任务以查看其计划任务概述安装完成后会有一组预定义任务您还可以通过单击添加任务来新建计划任务右键单击某个任务时可以选择要执行的操作可用操作如下所示显示任务详细信息立即运行添加编辑删除 81

使用任务旁边的复选框激活停用任务若要编辑现有计划任务的配置请右键单击任务并单击编辑或者选择要修改的任务并单击编辑按钮默认预定义)计划任务如下所示日志维护定期自动更新拨号连接后自动更新用户登录后自动更新默认不激活此任务自动启动文件检查用户登录后自动启动文件检查成功更新病毒库以后自动开始首次扫描 3781 计划任务添加任务若要在计划任务中创建新任务

82 使用任务旁边的复选框激活停用任务若要编辑现有计划任务的配置请右键单击任务并单击编辑或者选择要修改的任务并单击编辑按钮默认预定义)计划任务如下所示日志维护定期自动更新拨号连接后自动更新用户登录后自动更新默认不激活此任务自动启动文件检查用户登录后自动启动文件检查成功更新病毒库以后自动开始首次扫描 3781 计划任务添加任务若要在计划任务中创建新任务请单击添加任务或右键单击并从右键菜单中选择添加将打开一个帮助您创建计划任务的向导请参阅以下分步说明 1 输入任务名称然后从下拉菜单中选择所需的任务类型运行外部应用程序 - 计划外部应用程序的执行日志维护 - 日志文件中仍会包含已删除记录的残余信息此任务定期优化日志文件中的记录以提高工作效率系统启动文件检查 - 检查在系统启动或登录时允许运行的文件创建计算机状态快照 - 创建 ESET SysInspector 计算机快照收集有关系统组件例如驱动程序应用程序的详细信息并评估每个组件的风险级别手动计算机扫描 - 执行计算机上文件和文件夹的计算机扫描首次扫描 - 默认情况下在安装完成或重新启动 20 分钟后将作为低优先级任务执行计算机扫描更新 - 计划一个更新任务以执行病毒库和程序模块的更新 Hyper-V 扫描 - 计划 Hyper-V 内的虚拟磁盘扫描 82

83 数据库扫描 - 允许您计划数据库扫描并选择将扫描的项这实质上是手动数据库扫描如果您已启用邮箱数据库防护仍可以计划该任务但是它将以一条显示在主 GUI 的扫描部分中的错误消息而结束该消息指示数据库扫描扫描因错误而中断为了防止这种情况您需要确保在计划运行数据库扫描期间邮箱数据库防护处于禁用状态发送邮件隔离报告 - 计划要通过电子邮件发送的邮件隔离报告后台扫描 - 让 Exchange Server 可以运行数据库后台扫描如果需要 2 如果您想要在创建任务后停用它请单击已启用旁边的开关您可以通过使用计划任务视图中的复选框来稍后激活任务单击下一步 3 选择希望运行计划任务的时间一次 - 任务将仅在指定日期和时间执行一次重复 - 任务将以指定的时间间隔执行以分钟为单位每天 - 任务将在每天指定时间重复运行每周 - 任务将在每周所选日期和时间运行一次或多次由事件触发 - 任务将在发生指定事件后执行 4 如果您想要在系统靠电池例如 UPS 供电的情况下阻止执行任务请单击靠电池供电时跳过任务旁边的开关单击下一步 5 如果任务无法在计划的时间运行可以选择运行时间在下一个计划时间尽快如果自上次运行时间之后经过的时间超过指定值则立即跳过任务可使用自上次运行时间之后经过的时间选择器来定义间隔 6 单击下一步可能需要指定任务详细信息具体取决于任务类型操作完成后单击完成将在计划任务视图中显示新的计划任务 379 提交样本以供分析使用样本提交对话框可将文件或站点发送到 ESET 以供分析该对话框可在工具 > 提交样本以供分析中找到如果您在计算机上发现了行为可疑的文件或在 Internet 上发现了可疑的站点可将其提交给 ESET 的病毒实验室以供分析如果文件被证实是一个恶意应用程序或网站则以后的更新中将增加对它的检测此外也可以通过电子邮件提交文件若要执行此操作请使用类似 WinRAR 或 WinZip 的程序压缩文件使用密码 infected 保护压缩文件并将其发送至 samples@esetcom 请记住邮件主题一定要描述清楚邮件应包含尽可能多的有关此文件的信息比如下载此文件的网站名向 ESET 提交样本前确保其满足以下一个或多个标准未检测到文件或网站将文件或网站错误检测为威胁除非需要更多信息供分析否则您不会接收到回信从提交样本的理由下拉菜单选择最适合您的邮件的描述可疑文件可疑站点被恶意软件感染的网站误报文件检测为感染但并未感染的文件误报站点其他文件站点 - 您想要提交的文件或网站的路径 83

84 联系人电子邮件 - 此联系人电子邮件随可疑文件一起发送给 ESET 如果需要更多信息以供分析可能会使用该电子邮件与您联系可选择是否输入联系人电子邮件除非需要更多信息否则您不会收到 ESET 的回信由于我们的服务器每天都会收到数以万计的文件因此不可能对所有提交一一回复 3791 可疑文件观察到的恶意软件感染迹象和症状 - 输入在您的计算机上观察到的可疑文件行为的描述文件来源(URL 地址或供应商) - 请输入文件出处来源并注明您是如何遇到该文件的注释和其他信息 - 您可以在这里输入有助于识别可疑文件过程的其他信息或描述第一个参数观察到的恶意软件感染迹象和症状必填但是提供其他信息将会很大程度地帮助我们实验室进行样本的识别过程 3792 可疑站点请从网站问题下拉菜单选择以下内容之一被感染 - 包含由各种方法分发的病毒或其他恶意软件的网站网络钓鱼 - 通常用于获取对敏感数据如银行帐号 PIN 码等的访问权限请阅读词汇表中关于此类攻击的更多信息欺诈 - 欺骗或欺诈性网站如果上述选项与您要提交的站点不符请选择其他注释和其他信息 - 您可以在这里输入有助于分析可疑网站的其他信息或描述 3793 误报文件我们请求您提交已检测为感染但却未感染的文件以帮助我们改进病毒和间谍软件防护引擎并为其他用户提供防护当文件模式匹配病毒库中包含的同一模式时可能会发生误报 (FP) 应用程序名称和版本 - 程序标题及其版本例如编号别名或代码名称文件来源(URL 地址或供应商) - 请输入文件出处来源并注明您是如何遇到该文件的应用程序用途 - 一般应用程序描述应用程序类型例如浏览器媒体播放器及其功能注释和其他信息 - 您可以在这里添加有助于处理可疑文件的其他信息或描述这三个参数是必填的以识别合法应用程序并将它与恶意代码区分开来通过提供其他信息您将对我们实验室的识别过程和样本的处理提供极大帮助 3794 误报站点我们鼓励您提交已检测为感染欺诈或网络钓鱼但实际是误报的站点当文件模式匹配病毒库中包含的同一模式时可能会发生误报 (FP) 请提供该网站以帮助我们改进病毒和网络钓鱼防护引擎并帮助为其他用户提供防护注释和其他信息 - 您可以在这里添加有助于处理可疑文件的其他信息或描述 84

3795 其他如果文件无法被归类为可疑文件或误报请使用此表格提交文件的原因 - 请输入详细描述和发送文件的原因 3710 隔离隔离区的主要功能是安全储存被感染文件隔离文件的前提是文件出现以下情况无法清除不安全或被建议删除或被 ESET Mail Security 错误检测您可以选择隔离任何文件如果文件行为可疑但未被病毒防护扫描程序检测到建议采取隔离措施可将隔离

85 3795 其他如果文件无法被归类为可疑文件或误报请使用此表格提交文件的原因 - 请输入详细描述和发送文件的原因 3710 隔离隔离区的主要功能是安全储存被感染文件隔离文件的前提是文件出现以下情况无法清除不安全或被建议删除或被 ESET Mail Security 错误检测您可以选择隔离任何文件如果文件行为可疑但未被病毒防护扫描程序检测到建议采取隔离措施可将隔离的文件提交到 ESET 病毒实验室进行分析可在表格中查看储存在隔离区文件夹中的文件表格中显示隔离的日期和时间被感染文件原始位置的路径文件大小字节数原因例如由用户添加的对象以及威胁数量例如是否为包含多个渗透的压缩文件等如果电子邮件对象在文件隔离区中隔离将显示采用邮箱文件夹文件名路径形式的信息隔离文件 ESET Mail Security 自动隔离被删除的文件如果您尚未在警报窗口中禁用该选项如果需要您可以手动隔离任何可疑文件方法是单击隔离隔离的文件将从其初始位置删除也可用右键菜单达到此目的在隔离区窗口中右键单击然后选择隔离从隔离区恢复隔离的文件还可以恢复到其初始位置可通过在隔离窗口中右键单击给定文件使用右键菜单中提供的恢复功能来执行此操作如果文件被标记为潜在的不受欢迎应用程序则恢复并且不扫描选项也将可用请阅读词汇表中有关此类应用程序的详细信息右键菜单还提供恢复至选项使用此选项可将文件恢复到其被删除时所在位置之外的其他位置 85

86 如果程序错误地隔离了无害文件请在文件恢复后将其移出扫描队列并发送给 ESET 客户服务部门提交隔离区中的文件如果程序未检测到您隔离的可疑文件或文件被错误地确认为已受感染如启发式扫描代码分析所做的评估并且随后被隔离请将该文件发送到 ESET 病毒实验室要提交隔离区中的文件右键单击该文件并从右键菜单中选择提交要分析的文件 38 帮助和支持 ESET Mail Security 包含故障排除工具和支持信息帮助您解决可能遇到的问题帮助搜索 ESET 知识库 - ESET 知识库包含对大多数常见问题的解答以及各种问题的建议解决方案知识库由 ESET 专业技术人员定期更新它已成为解决各类问题的最强大工具打开帮助 - 单击此链接以启动 ESET Mail Security 帮助页面查找快速解决方案 - 选择此选项可找到大多数常见问题的解决方案建议您在联系技术支持之前阅读本节客户服务提交支持请求 - 如果您找不到问题的答案也可以使用位于 ESET 网站上的该表单快速联系我们的客户服务部门支持工具威胁百科全书 - ESET 威胁百科全书的链接包含有关不同类型渗透的危险和症状的信息 ESET 日志收集器 - 指向 ESET 日志收集器下载页面的链接日志收集器是一个应用程序它自动从服务器收集信息例如配置和日志以便帮助更快地解决问题有关 ESET 日志收集器的详细信息请参阅联机帮助病毒库历史记录 - ESET 病毒雷达的链接包含有关 ESET 病毒库版本的信息 ESET 专用清理器 - 此清理器可自动识别并清除常见的恶意软件感染有关详细信息请访问此 ESET 知识库文章产品和许可证信息关于 ESET Mail Security - 显示有关 ESET Mail Security 的副本的信息激活产品/管理许可证 - 单击以启动产品激活窗口选择其中一个可用方法来激活 ESET Mail Security 381 帮助主题本章介绍所有最常见的问题和难题单击主题标题了解如何解决您的难题如何更新 ESET Mail Security 如何激活 ESET Mail Security 如何计划扫描任务每 24 小时如何从服务器中删除病毒自动排除的工作方式如果您的问题未包含在上面列出的帮助页面中请尝试通过描述问题的关键字或短语进行搜索以及在 ESET Mail Security 帮助页面中搜索如果在帮助页面中找不到难题问题的解决方案您可以尝试使用定期更新的在线知识库如有必要您可以直接联系我们的在线技术支持中心咨询您的问题或难题联系信息表格可在 ESET 程序的帮 86

87 助和支持选项卡中找到 3811 如何更新 E S E T Ma il S e c urity 可以通过手动或自动方式更新 ESET Mail Security 若要触发更新请单击立即更新您将在程序的更新部分中找到此按钮默认安装设置会创建每小时执行的自动更新任务如果您需要更改时间间隔请导航到计划任务有关计划任务的详细信息请单击此处 3812 如何激活 E S E T Ma il S e c urity 完成安装后将提示您激活您的产品有几种激活产品的方法激活窗口中特定激活方案的可用性可能根据国家地区以及分发方式 CD/DVD ESET 网页等而不同要在程序中直接激活您的 ESET Mail Security 副本请单击系统托盘图标并从菜单中选择产品未激活您还可以在主菜单中的帮助与支持 > 激活产品或监视状态 > 产品未激活下激活您的产品您可以使用以下任一方法来激活 ESET Mail Security 许可证密钥 - 遵循 XXXX-XXXX-XXXX-XXXX-XXXX 格式的唯一字符串用于标识许可证所有者和激活许可证 Security Admin - 使用凭据电子邮件地址密码在 ESET 许可证管理员门户网站上创建的帐户此方法允许您在一个位置管理多个许可证脱机许可证文件将传输到 ESET 产品以提供许可证信息的自动生成的文件您的脱机许可证文件由许可证门户生成并在应用程序无法连接到许可证颁发机构的环境中使用如果您的计算机是托管网络的成员请通过 ESET Remote Administrator 单击稍后激活您的管理员将通过 ESET Remote Administrator 执行远程激活如果您希望稍后激活此客户端也可以使用此选项在主程序窗口中选择帮助和支持 > 管理许可证以随时管理许可证信息您将看到 ESET 用来识别产品并用于许可标识的公共许可证 ID 用于注册计算机的用户名存储在关于部分中您可以通过右键单击系统托盘图标来查看它 ESET Remote Administrator 能够使用管理员提供的许可证静默激活客户端计算机 3813 E S E T Ma il S e c urity 如何计算邮箱数有关详细信息请参阅我们的知识库文章 3814 如何在计划任务中创建新任务若要在计划任务中创建新任务请单击添加任务或右键单击并从右键菜单中选择添加将打开一个帮助您创建计划任务的向导请参阅以下分步说明 1 输入任务名称然后从下拉菜单中选择所需的任务类型运行外部应用程序 - 计划外部应用程序的执行日志维护 - 日志文件中仍会包含已删除记录的残余信息此任务定期优化日志文件中的记录以提高工作效率系统启动文件检查 - 检查在系统启动或登录时允许运行的文件创建计算机状态快照 - 创建 ESET SysInspector 计算机快照收集有关系统组件例如驱动程序应用程序的详细信息并评估每个组件的风险级别手动计算机扫描 - 执行计算机上文件和文件夹的计算机扫描首次扫描 - 默认情况下在安装完成或重新启动 20 分钟后将作为低优先级任务执行计算机扫描更新 - 计划一个更新任务以执行病毒库和程序模块的更新 Hyper-V 扫描 - 计划 Hyper-V 内的虚拟磁盘扫描 87

88 数据库扫描 - 允许您计划数据库扫描并选择将扫描的项这实质上是手动数据库扫描如果您已启用邮箱数据库防护仍可以计划该任务但是它将以一条显示在主 GUI 的扫描部分中的错误消息而结束该消息指示数据库扫描扫描因错误而中断为了防止这种情况您需要确保在计划运行数据库扫描期间邮箱数据库防护处于禁用状态发送邮件隔离报告 - 计划要通过电子邮件发送的邮件隔离报告后台扫描 - 让 Exchange Server 可以运行数据库后台扫描如果需要 2 如果您想要在创建任务后停用它请单击已启用旁边的开关您可以通过使用计划任务视图中的复选框来稍后激活任务单击下一步 3 选择希望运行计划任务的时间一次 - 任务将仅在指定日期和时间执行一次重复 - 任务将以指定的时间间隔执行以分钟为单位每天 - 任务将在每天指定时间重复运行每周 - 任务将在每周所选日期和时间运行一次或多次由事件触发 - 任务将在发生指定事件后执行 4 如果您想要在系统靠电池例如 UPS 供电的情况下阻止执行任务请单击靠电池供电时跳过任务旁边的开关单击下一步 5 如果任务无法在计划的时间运行可以选择运行时间在下一个计划时间尽快如果自上次运行时间之后经过的时间超过指定值则立即跳过任务可使用自上次运行时间之后经过的时间选择器来定义间隔 6 单击下一步可能需要指定任务详细信息具体取决于任务类型操作完成后单击完成将在计划任务视图中显示新的计划任务 3815 如何计划扫描任务每 24 小时若要计划定期任务请转到 ESET Mail Security > 工具 > 计划任务以下步骤将引导您完成每 24 小时扫描一次本地驱动器的任务的创建要计划扫描任务 1 在计划任务主屏幕中单击添加任务然后输入任务名称 2 从下拉菜单中选择手动计算机扫描 3 如果您想要在创建任务后停用它请单击已启用旁边的开关稍后可通过使用计划任务视图中的复选框来激活任务 4 设置要重复运行的计划任务任务将以指定的时间间隔 1440 分钟执行 5 如果您想要在系统依赖电池例如 UPS 供电的情况下阻止执行任务请单击靠电池供电时跳过任务旁边的开关 6 单击下一步 7 选择计划任务执行因任何原因失败时将执行的操作在下一个计划时间尽快如果自上次运行时间之后经过的时间超过指定值则立即跳过任务可使用自上次运行时间之后经过的时间选择器来定义间隔 8 单击下一步 88

89 9 从目标下拉菜单中选择本地驱动器 10 单击完成以应用此任务 3816 如何从服务器中删除病毒如果您的计算机显示感染恶意软件的迹象例如速度变慢或常常停止响应我们建议您执行以下操作 1 从 ESET Mail Security 主窗口中单击计算机扫描 2 单击智能扫描以开始扫描系统 3 扫描完成后查看日志中扫描文件被感染文件和已清除文件的数量 4 如果您要仅扫描磁盘的特定部分请选择自定义扫描然后选择要进行病毒扫描的目标有关其他信息请参阅我们定期更新的知识库文章 382 提交支持请求为了尽可能快速准确地提供支持 ESET 需要有关 ESET Mail Security 配置的信息详细的系统信息以及关于正在运行的进程 ESET SysInspector 日志文件和注册表数据的信息 ESET 仅将此数据用于为客户提供技术帮助提交 Web 表单后您的系统配置数据将提交到 ESET 选择始终提交此信息即可记住针对此进程执行的此操作若要在不发送任何数据的情况下提交此表格请选择不提交数据然后可使用在线支持表单联系 ESET 客户服务还可以从高级设置窗口按键盘上的 F5 键配置此设置依次单击工具 > 诊断 > 客户服务如果您选择提交系统数据则必须填写并提交 Web 表单否则将不会创建您的票证而且您的系统数据将会丢失 383 E S E T 专用清理器 ESET 专用清理器是用于常见恶意软件感染如 Conficker Sirefef 或 Necurs 的清除工具有关详细信息请访问此 ESET 知识库文章 89

90 384 关于 E S E T Ma il S e c urity 此窗口提供有关 ESET Mail Security 的已安装版本的详细信息窗口顶部包含有关您的操作系统和系统资源的信息当前用户以及完整计算机名称 90

91 已安装组件包含模块的相关信息单击已安装组件查看已安装组件列表及其详细信息单击复制即可将该列表复制到您的剪贴板这在排除故障或联系技术支持时有用 385 产品激活完成安装后将提示您激活您的产品有几种激活产品的方法激活窗口中特定激活方案的可用性可能根据国家地区以及分发方式 CD/DVD ESET 网页等而不同要在程序中直接激活您的 ESET Mail Security 副本请单击系统托盘图标并从菜单中选择产品未激活您还可以在主菜单中的帮助与支持 > 激活产品或监视状态 > 产品未激活下激活您的产品您可以使用以下任一方法来激活 ESET Mail Security 许可证密钥 - 遵循 XXXX-XXXX-XXXX-XXXX-XXXX 格式的唯一字符串用于标识许可证所有者和激活许可证 Security Admin - 使用凭据电子邮件地址密码在 ESET 许可证管理员门户网站上创建的帐户此方法允许您在一个位置管理多个许可证脱机许可证文件将传输到 ESET 产品以提供许可证信息的自动生成的文件您的脱机许可证文件由许可证门户生成并在应用程序无法连接到许可证颁发机构的环境中使用如果您的计算机是托管网络的成员请通过 ESET Remote Administrator 单击稍后激活您的管理员将通过 ESET Remote Administrator 执行远程激活如果您希望稍后激活此客户端也可以使用此选项在主程序窗口中选择帮助和支持 > 管理许可证以随时管理许可证信息您将看到 ESET 用来识别产品并用于许可标识的公共许可证 ID 用于注册计算机的用户名存储在关于部分中您可以通过右键单击系统托盘图标来查看它 91

92 ESET Remote Administrator 能够使用管理员提供的许可证静默激活客户端计算机 3851 注册通过填写注册表中的字段并单击继续来注册您的许可证括号中标记为必需的字段为必填字段此信息将仅用于与您的 ESET 许可证相关的事项 3852 安全管理员激活安全管理员帐户是使用您的电子邮件地址和密码在许可门户上创建的帐户它能够看到所有席位授权安全管理员帐户允许您管理多个许可证如果您没有安全管理员帐户请单击创建帐户您将重定向到 ESET License Administrator 网页您可在其中使用凭据进行注册如果您已忘记密码请单击忘记密码您将重定向到 ESET 业务门户输入您的电子邮件地址并单击提交以确认之后您将获得一封包含重置密码说明的邮件有关使用 ESET License Administrator 的详细信息请参阅 ESET License Administrator 用户指南 3853 激活失败未成功激活 ESET Mail Security 请确保您已输入正确的许可证密钥或已附加脱机许可证如果您还有其他的脱机许可证请再次输入若要检查输入的许可证密钥请单击重新检查许可证密钥或单击购买新的许可证然后会将您重定向到我们的网页您可以从中购买新的许可证 3854 许可证如果您选择安全管理员激活选项则将提示您选择与用于 ESET Mail Security 的帐户相关联的许可证单击激活以继续 3855 激活进度正在激活 ESET Mail Security 请耐心等待这可能需要几分钟 3856 成功激活激活成功 ESET Mail Security 现已激活从现在起 ESET Mail Security 将接收定期更新以识别最新威胁并保证您的计算机安全单击完成来完成产品激活 92

93 4 使用 ESET Mail Security 在高级设置窗口中您可以根据自己的需要配置设置和选项左侧菜单包括以下类别服务器 - 允许配置病毒和间谍软件防护邮箱数据库防护规则等计算机 - 启用或禁用对潜在不受欢迎不安全可疑应用程序的检测指定排除实时文件系统防护手动计算机扫描以及 Hyper-V 扫描等更新 - 配置配置文件的列表创建更新文件的快照更新源信息如正在使用的更新服务器和这些服务器的验证数据 Web 和电子邮件 - 允许您配置电子邮件客户端防护协议过滤 Web 访问保护等设备控制 - 配置设备控制规则和组工具 - 允许您自定义工具如 ESET LiveGrid 日志文件代理服务器群集等用户界面 - 配置程序的图形用户界面 (GUI) 行为状态许可证信息等当您在左侧菜单中单击某个项目类别或子类别时该项目的各个设置将显示在右侧窗格上 41 服务器此高级设置部分允许启用或禁用邮箱数据库防护和邮件传输防护集成以及编辑代理优先级如果运行的是 Microsoft Exchange Server 或 2016 可以在邮箱数据库防护和手动数据库扫描之间进行选择同一时间只能使用其中一种防护类型如果决定使用手动数据库扫描将需要禁用邮箱数据库防护集成否则手动数据库扫描将不可用 93

94 ESET Mail Security 使用以下功能为您的 Microsoft Exchange Server 提供重要防护病毒和间谍软件防护反垃圾邮件防护规则邮件传输防护 Exchange Server 邮箱数据库防护 Exchange Server 手动数据库扫描 Exchange Server 邮件隔离邮件隔离类型设置 411 服务器代理优先级设置在服务器代理优先级设置菜单中设置 ESET Mail Security 服务器代理在 Microsoft Exchange Server 启动后变为活动状态的优先级数字值定义优先级数字越小表示优先级越高这适用于 Microsoft Exchange Server 2003 编辑 - 设置 ESET Mail Security 服务器代理在 Microsoft Exchange Server 启动后变为活动状态的优先级修改 - 手动定义数字来更改所选服务器代理的优先级向上 - 通过在服务器代理列表中上移提高选定服务器代理的优先级向下 - 通过在服务器代理列表中下移降低选定服务器代理的优先级借助 Microsoft Exchange Server 2003 您可以使用 EOD 数据结束和 RCPT 收件人的选项卡单独指定服务器代理优先级 4111 修改优先级如果您运行的是 Microsoft Exchange Server 2003 则可以手动定义一个数字来更改传输代理的优先级修改文本字段中的数字或使用向上和向下箭头更改优先级数字越小优先级越高 94

412 服务器代理优先级设置在服务器代理优先级设置菜单中您可以设置 ESET Mail Security 服务器代理在 Microsoft Exchange Server 启动后变为活动状态的优先级这适用于 Microsoft Exchange 2007 及更高版本向上 - 通过在服务器代理列表中上移提高选定服务器代理的优先级向下通过在服务器代理列表中下移

95 412 服务器代理优先级设置在服务器代理优先级设置菜单中您可以设置 ESET Mail Security 服务器代理在 Microsoft Exchange Server 启动后变为活动状态的优先级这适用于 Microsoft Exchange 2007 及更高版本向上 - 通过在服务器代理列表中上移提高选定服务器代理的优先级向下通过在服务器代理列表中下移降低选定服务器代理的优先级 413 病毒和间谍软件防护在此部分中您可以为邮件服务器配置病毒和间谍软件防护选项重要信息邮件传输防护由传输代理提供并且仅可用于 Microsoft Exchange Server 2003 和更高版本但是您的 Exchange Server 必须拥有 Edge 传输服务器或 Hub 传输服务器角色此功能也可应用于将多个 Exchange Server 角色集中在一台计算机上的单服务器安装中执行前提是该安装拥有 Edge 或 Hub 传输角色邮件传输防护如果禁用启用病毒和间谍软件邮件传输防护 Exchange 服务器的 ESET Mail Security 插件将不会从 Microsoft Exchange Server 进程卸载它将仅通过邮件而不扫描传输层上的病毒在数据库层上将仍然针对病毒和垃圾邮件对邮件进行扫描并且将应用现有规则 95

96 邮箱数据库防护如果禁用启用病毒和间谍软件邮箱数据库防护 Exchange 服务器的 ESET Mail Security 插件将不会从 Microsoft Exchange Server 进程卸载它将仅通过邮件而不扫描数据库层上的病毒在传输层上将仍然针对病毒和垃圾邮件对邮件进行扫描并且将应用现有规则 96

97 手动数据库扫描- 在您禁用服务器上的邮箱数据库防护后可用单击 ThreatSense 参数以修改扫描参数 97

414 反垃圾邮件防护您的邮件服务器的反垃圾邮件防护默认处于启用状态若要将其关闭请单击启用反垃圾邮件防护旁边的开关禁用反垃圾邮件防护不会更改保护状态即使反垃圾邮件已禁用您仍会在主要图形用户界面的监视部分中看到绿色的最高防护禁用反垃圾邮件不代表防护级别的降低启用使用 Exchange Server 白名单自动绕过反垃圾邮件防护允许 ESET Mail

98 414 反垃圾邮件防护您的邮件服务器的反垃圾邮件防护默认处于启用状态若要将其关闭请单击启用反垃圾邮件防护旁边的开关禁用反垃圾邮件防护不会更改保护状态即使反垃圾邮件已禁用您仍会在主要图形用户界面的监视部分中看到绿色的最高防护禁用反垃圾邮件不代表防护级别的降低启用使用 Exchange Server 白名单自动绕过反垃圾邮件防护允许 ESET Mail Security 使用特定 Exchange 白名单启用后将考虑以下内容服务器 IP 地址在 Exchange Server 的允许的 IP 列表上邮件收件人已在其邮箱上设置了反垃圾邮件绕过标志邮件收件人可在其安全发件人列表上找到发件人的地址请确保您已经在包括安全列表集合在内的 Exchange Server 环境中配置了安全发件人列表同步如果以上任意情况适用于传入邮件反垃圾邮件检查将绕过此邮件不会对此邮件进行 SPAM 评估并且将被发送到收件人的邮箱若您在具有绕过反垃圾邮件设置的 Exchange Servers 之间进行已验证的 SMTP 会话接受在 SMTP 会话中设置的反垃圾邮件绕过标记将非常有用例如如果您拥有 Edge 服务器和 Hub 服务器则无需对这两个服务器之间的网络进行扫描默认情况下将启用接受在 SMTP 会话中设置的反垃圾邮件绕过标记但仅在为 Exchange Server 上的 SMTP 会话配置反垃圾邮件绕过标记时才会应用如果禁用接受在 SMTP 会话中设置的反垃圾邮件绕过标记 ESET Mail Security 将不管 Exchange Sever 上的反垃圾邮件绕过设置对垃圾邮件的 SMTP 会话进行扫描 NOTE 为了使反垃圾邮件模块提供最好的防护有必要定期更新反垃圾邮件数据库若要允许定期更新反垃圾邮件数据库请确保 ESET Mail Security 可访问必要端口上的正确 IP 地址有关在第三方防火墙中启用的 IP 和端口的更多信息请参阅知识库文章 98

99 您可以在其自己的部分找到每个功能的更多设置过滤和验证高级设置灰名单设置 SPF 和 DKIM 4141 过滤和验证您可以通过指定诸如 IP 地址或范围域名等标准配置已批准已阻止和已忽略列表若要添加修改或删除标准请单击希望管理的列表的编辑将不会针对 RBL 或 DNSBL 测试已忽略列表中包括的 IP 地址或域但将应用其他反垃圾邮件防护技术已忽略列表应包含所有内部基础架构 IP 地址域名您还可以包含 ISP 或外部发送邮件服务器的 IP 地址域名这些服务器当前由 RB L或 DNSBL ESET 的黑洞列表或第三方黑洞列表之一列入黑名单这允许您接收来自忽略列表所包含的源的电子邮件即使它们已列入黑名单将接收此类传入电子邮件并且其内容将由其他反垃圾邮件防护技术进一步检查已批准的 IP 列表 - 自动将来自指定 IP 地址的电子邮件列入白名单已阻止的 IP 列表 - 自动阻止来自指定 IP 地址的电子邮件已忽略的 IP 列表 - 将在分类期间忽略的 IP 地址列表已阻止的正文域列表 - 阻止在邮件正文中包含指定域的电子邮件已忽略的正文域列表 - 将在分类期间忽略邮件正文中的指定域已阻止的正文 IP 列表 - 阻止在邮件正文中包含指定 IP 地址的电子邮件已忽略的正文 IP 列表 - 将在分类期间忽略邮件正文中的指定 IP 地址已批准的发件人列表 - 将来自指定发件人的电子邮件列入白名单已阻止的发件人列表 - 阻止来自指定发件人的电子邮件已批准的域到 IP 列表 - 将来自从该列表中指定域解析的 IP 地址的电子邮件列入白名单解析 IP 地址时将识别SPF 发件人策略框架记录已阻止的域到 IP 列表 - 阻止来自从该列表中的指定域解析的 IP 地址的电子邮件解析 IP 地址时将识别SPF 记录已忽略的域到 IP 列表 - 解析为 IP 地址在分类期间将不会检查它们的域列表解析 IP 地址时将识别SPF 记录已阻止的国家地区列表 - 阻止来自指定国家地区的电子邮件阻止基于 GeoIP 如果垃圾邮件发送自具有您在已阻止的国家地区中选择的国家地区的地理定位数据库中列出的 IP 地址的邮件服务器会自动将其标记为垃圾邮件并且将根据邮件传输防护下的对垃圾邮件采取的操作设置采取操作如果想要一次添加多个条目请在添加弹出窗口中单击输入多个值并选择要使用的分隔符分隔符可以是换行符逗号或分号 99

4142 高级设置这些设置允许外部服务器定义为 RBL - 实时黑洞列表和 DNSBL - DNS 阻止列表根据其预定的条件来验证邮件来自已接收: 标题的已验证地址的最大数量 - 您可以限制反垃圾邮件检查的 IP 地址的数量这涉及写入到 Received: from 标题中的 IP 地址默认值为 0 即表示无限制根据最终用户黑名单验证发件人的地址 -

100 4142 高级设置这些设置允许外部服务器定义为 RBL - 实时黑洞列表和 DNSBL - DNS 阻止列表根据其预定的条件来验证邮件来自已接收: 标题的已验证地址的最大数量 - 您可以限制反垃圾邮件检查的 IP 地址的数量这涉及写入到 Received: from 标题中的 IP 地址默认值为 0 即表示无限制根据最终用户黑名单验证发件人的地址 - 会验证不经邮件服务器未列为邮件服务器的计算机发送的电子邮件以确保发件人不在黑名单上默认情况下启用此选项可以禁用它如果需要但不会根据黑名单检查不经邮件服务器发送的邮件其他 RBL 服务器 - 是分析邮件时需要的实时黑洞列表 (RBL) 服务器的列表添加其他 RBL 服务器时请输入服务器的域名例如 sblspamhausorg 它能够与服务器所支持的任何返回码配合使用例如 100

或者您可以采用以下格式指定附带返回码的服务器名称 server:response 例如 zenspamhausorg:127004

窗口中的输入多个值以指定所有服务器名称及其返回代码各条目应如以下示例所示实际 RBL 服务器主机名称和返回代码可能略有不同

101 或者您可以采用以下格式指定附带返回码的服务器名称 server:response 例如 zenspamhausorg: 当使用此格式时我们建议您分别添加每个服务器名称和返回代码以便得到完整列表单击添加窗口中的输入多个值以指定所有服务器名称及其返回代码各条目应如以下示例所示实际 RBL 服务器主机名称和返回代码可能略有不同 RBL 查询执行限制(以秒为单位) - 此选项允许您设置 RBL 查询的最长时间仅在能够及时响应的 RBL 服务器中使用 RBL 响应如果该值设置为 0 则不会施加任何的超时 101

针对 RBL 的已验证地址的最大数量 - 此选项允许您限制针对 RBL 服务器查询的 IP 地址数请 RBL 查询的总数等于已接收: 标题中的 IP 地址数最高值为 RBL 执行的 IP 地址检查的最大数量乘以 RBL 列表中指定的 RBL 服务器数如果该值设置为 0 将检查无限多的已接收标题请忽略的 IP

102 针对 RBL 的已验证地址的最大数量 - 此选项允许您限制针对 RBL 服务器查询的 IP 地址数请 RBL 查询的总数等于已接收: 标题中的 IP 地址数最高值为 RBL 执行的 IP 地址检查的最大数量乘以 RBL 列表中指定的 RBL 服务器数如果该值设置为 0 将检查无限多的已接收标题请忽略的 IP 列表中的 IP 不计入 RBL IP 地址限制中其他 DNSBL 服务器 - 是 DNS 阻止列表 (DNSBL) 服务器的列表这些服务器使用从邮件正文提取的域和 IP 地址进行查询添加其他 DNSBL 服务器时请输入服务器的域名例如 dblspamhausorg 它能够与服务器所支持的任何返回码配合使用 102

103 或者您可以采用以下形式指定附带返回码的服务器名称 server:response 例如 zenspamhausorg: 在这种情况下建议您分别添加每个服务器名称和返回代码以便拥有完整列表单击添加窗口中的输入多个值以指定所有服务器名称及其返回代码各条目应如以下示例所示实际 DNSBL 服务器主机名称和返回代码可能略有不同 DNSBL 查询执行限制(以秒为单位) - 允许您设置完成所有 DNSBL 查询所需的最大超时针对 DNSBL 的已验证地址的最大数量 - 允许您限制针对 DNS 阻止列表服务器查询的 IP 地址数针对 DNSBL 的已验证域的最大数量 - 允许您限制针对 DNS 阻止列表服务器查询的域数量启用反垃圾邮件引擎诊断日志记录 - 将有关反垃圾邮件引擎的详细信息写入日志文件以供诊断之用反垃圾邮件引擎不使用事件日志即 warnlogdat 文件因此无法在日志文件查看器中进行查看它会将记录直接写入专用文本文件例如 C:\ProgramData\ESET\ESET Mail Security\Logs\antispam0log 以使所有反垃圾邮件引擎诊断数据都保留在一个位置这样即使遭遇巨大电子邮件通信量 ESET Mail Security 的性能也不会受到影响最大邮件扫描大小 (kb) - 限制针对大于指定值的邮件进行反垃圾邮件扫描反垃圾邮件引擎将不会扫描这些邮件默认值 0 表示邮件扫描大小不受限制通常没有必要限制反垃圾邮件扫描但如果在某种情况下需要进行限制请将该值更改为所需大小可以从反垃圾邮件扫描中排除的最小邮件大小为 12 kb 如果将该值设置为 1 到 12 它始终会将邮件大小限制为 12 kb 或更大即使指定的值低于 12 也是如此启用暂时拒绝不确定的邮件 - 如果反垃圾邮件引擎无法确定邮件是否为垃圾邮件这意味着该邮件具有某些垃圾邮件的可疑特征但不足以标记为垃圾邮件例如第一封营销电子邮件或源自评分不一的 IP 范围的电子邮件此设置启用时允许 ESET Mail Security 暂时拒收该邮件如同灰名单并继续在一个特定的时间段内拒收直到 a) 时间间隔已过将在下次发送尝试时接受该邮件此邮件保留初始分类垃圾邮件或有害邮件 b) 在时间间隔过去之前反垃圾邮件云会收集足够数据确保正确分类该邮件 ESET Mail Security 不会保留拒收的邮件因为发送邮件服务器会根据 SMTP RFC 重新发送该邮件允许提交暂时拒绝的邮件以供分析 - 将自动发送邮件内容以供进一步分析这有助于改善后续电子邮件的邮件分类重要信息暂时拒绝且发送以供分析的邮件实际上可能是有害邮件在极少数情况下暂时拒绝的邮件可能会进行手动评估请仅在没有任何潜在敏感数据泄露的风险时才启用此功能 103

4143 灰名单设置启用灰名单功能将使用以下技术为用户启用垃圾邮件防护功能对于不是来自已知发件人的任何电子邮件传输代理将发送临时拒绝 SMTP 返回值默认为 451/471 合法服务器将在延迟之后尝试重新发送邮件垃圾邮件服务器通常将不尝试重新发送邮件因为它们通常会发送至数千个电子邮件地址而不会浪费时间进行重新发送灰名单是反垃圾邮件防护的附加层

104 4143 灰名单设置启用灰名单功能将使用以下技术为用户启用垃圾邮件防护功能对于不是来自已知发件人的任何电子邮件传输代理将发送临时拒绝 SMTP 返回值默认为 451/471 合法服务器将在延迟之后尝试重新发送邮件垃圾邮件服务器通常将不尝试重新发送邮件因为它们通常会发送至数千个电子邮件地址而不会浪费时间进行重新发送灰名单是反垃圾邮件防护的附加层对反垃圾邮件模块的垃圾邮件评估能力没有任何影响在评估邮件源时灰名单方法会将 Exchange 服务器上的已批准的 IP 列表忽略的 IP 列表安全发件人和允许 IP 列表以及收件人邮箱的反垃圾邮件绕过设置纳入考虑范围来自这些 IP 地址发件人列表的电子邮件或发送给启用了反垃圾邮件绕过选项的邮箱的电子邮件将通过灰名单检测方法而绕过检查仅使用发件人地址的域部分 - 忽略电子邮件地址中发件人的名字仅考虑域在 ESET 群集中同步灰名单数据库 - 在 ESET 群集中的服务器之间实时共享灰名单数据库条目当其中一台服务器接收通过灰名单处理的邮件时 ESET Mail Security 会将该信息传播到 ESET 群集中的其余节点初始连接拒绝的时限(分钟) - 当邮件第一次发送并被临时拒绝时此参数定义始终拒绝该邮件的时段从第一次拒绝测算在定义的时段过去后将成功接收该邮件可输入的最小值为 1 分钟未验证的连接到期时间(小时) - 此参数定义将存储三组控制数据的最小时间间隔有效服务器必须在此时段过期前重新发送需要的邮件此值必须大于初始连接拒绝的时限值已验证的连接到期时间(天) - 存储三组控制数据信息的最少天数在此期间将接收来自特定发件人的电子邮件而无任何延迟此值必须大于未验证的连接到期时间值使用反垃圾邮件列表自动绕过灰名单和 SPF - 启用后已批准和已忽略的 IP 列表将与 IP 白名单一起用于自动绕过灰名单和 SPF IP 白名单 - 在此部分中您可以添加 IP 地址附带掩码的 IP 地址 IP 范围可以通过单击添加编辑或删除修改该列表您还可以导入或导出文件使用浏览按钮在计算机上选择用于打开或保存配置文件的位置域到 IP 白名单 - 此选项允许您指定域例如 domainnamelocal 若要管理该列表请使用添加删除或全部删除如果您想要从文件导入自定义列表而不是手动添加每一个条目请右键单击该窗口的中间并从右键 104

105 菜单中选择导入然后浏览到包含要添加到该列表的条目的文件 xml 或 txt 同样的如果您需要将现有列表导出到文件请从右键菜单中选择导出 SMTP 响应针对临时拒绝的连接指定响应代码状态代码和响应消息这将定义在拒绝邮件时发送到 SMTP 服务器的 SMTP 临时拒绝响应 SMTP 拒绝响应邮件示例响应代码状态代码响应消息请稍候再试警告 SMTP 响应代码的语法不正确可能导致灰名单防护故障结果垃圾邮件可能被发送给客户端或根本不发送邮件在定义 SMTP 拒绝响应时也可以使用系统变量使用灰名单方法评估的所有邮件都记录在日志文件中 4144 S P F 和 D KIM SPF (发件人策略框架) 和 DKIM (域名密钥识别邮件) 用作验证方法对声称来自特定域的电子邮件进行检查以确认此封电子邮件是否经该域的所有者授权这有助于防止收件人接收欺诈电子邮件 ESET Mail Security 还使用 DMARC 基于域的邮件验证报告和一致性评估来对 SPF 和 DKIM 进一步增强将执行 SPF 检查以验证电子邮件是否由合法的发件人发送针对发件人域的 SPF 记录执行 DNS 查找以获取 IP 地址列表如果来自 SPF 记录中的任何 IP 地址匹配发件人的实际 IP 地址则 SPF 检查结果为通过如果发件人的实际 IP 地址不匹配则结果为失败但是并非所有域都具有 DNS 中指定的 SPF 记录如果 DNS 中不存在任何 SPF 记录则结果为不可用 DNS 请求有时可能会超时在这种情况下结果也为不可用通过根据 DKIM 标准将数字签名添加到传出邮件的标头 DKIM 可用于防止接收欺诈电子邮件这涉及使用域的私钥加密域的传出邮件标头以及将公钥添加到域的 DNS 记录然后收件人服务器可以检索公钥来解密传入标头并验证该邮件确实来自您的域并且沿途并未有所更改 DMARC 建立在 SPF 和 DKIM 这两个现有机制之上您可以使用邮件传输防护规则来评估 DMARC 结果和应用 DMARC 策略操作 105

自动检测 DNS 服务器 - 使用您的网络适配器的设置 DNS 服务器 IP 地址 - 如果您想要将特定 DNS 服务器用于 SPF 和 DKIM 则输入要使用的 DNS 服务器的 IP 地址采用 IPv4 或 IPv6 格式 DNS 查询超时(秒) - 为 DNS 回复指定超时自动拒绝接收邮件(如果 SPF 检查失败) - 如果 SPF 检查导致立即失败则可以在下载电子邮件之前拒绝接收

106 自动检测 DNS 服务器 - 使用您的网络适配器的设置 DNS 服务器 IP 地址 - 如果您想要将特定 DNS 服务器用于 SPF 和 DKIM 则输入要使用的 DNS 服务器的 IP 地址采用 IPv4 或 IPv6 格式 DNS 查询超时(秒) - 为 DNS 回复指定超时自动拒绝接收邮件(如果 SPF 检查失败) - 如果 SPF 检查导致立即失败则可以在下载电子邮件之前拒绝接收该邮件示例 SPF 检查在 SMTP 层上完成但是可以在 SMTP 层上或规则评估期间自动拒绝接收邮件如果您在 SMTP 层上使用自动拒绝接收则无法将拒绝的邮件记录到事件日志中这是因为日志记录通过规则操作完成而自动拒绝接收直接在 SMTP 层上完成这发生在规则评估之前由于在评估规则前已拒绝接收邮件因此在进行规则评估时没有要记录的信息您可以记录拒绝接收的邮件但前提是您通过规则操作拒绝接收邮件要拒绝未通过 SPF 检查的的邮件并记录此类拒收的邮件请禁用自动拒绝接收邮件(如果 SPF 检查失败)并为邮件传输防护创建以下规则条件类型 SPF 结果操作为参数已失败操作类型拒绝邮件类型记入事件使用 From:标头(如果邮件发送方为空) - 标头 MAIL FROM 可以为空也很容易仿冒当启用此选项并且 MAIL FROM 为空时将下载邮件并改为使用标头 From: 自动绕过灰名单(如果 SPF 检查已通过) - 如果邮件的 SPF 检查结果为通过则没有必要对其使用灰名单 106

107 SMTP 拒绝响应 - 可以指定响应代码状态代码和响应消息它们定义邮件遭拒绝时发送给 SMTP 服务器的 SMTP 临时拒绝响应您可以用以下格式输入响应消息响应代码状态代码响应消息 SPF 检查失败注释如果正在运行 Microsoft Exchange Server 2003 和 2003 R2 或 SBS 2003 和 SBS 2003 R2 一些 SPF 和 DKIM 选项不可用 415 规则允许您手动定义电子邮件过滤条件和对过滤的电子邮件采取的操作有三个独立的规则集一个规则集适用于一项操作邮件传输防护邮箱数据库防护手动数据库扫描重要信息针对手动数据库扫描错误定义的规则可能导致邮箱数据库发生不可逆转的更改在首次使用规则运行手动数据库扫描之前始终确保您具有邮箱数据库的最新备份另外我们强烈建议您验证规则是否按预期运行若要进行验证仅使用记录到事件操作来定义规则因为任何其他操作都会对邮箱数据库做出更改在验证后您可以添加破坏性规则操作如删除附件单击编辑打开规则列表可以在其中添加新规则或修改现有规则还可以为特定于邮件传输防护邮箱数据库防护和手动数据库扫描的规则定义不同的条件和操作这是因为其中每种保护类型都会在处理邮件时使用稍微不同的方法尤其是邮件传输防护规则分为三个级别按以下顺序进行评估过滤规则 (1) - 反垃圾邮件和病毒防护扫描前评估的规则附件处理规则 (2) - 病毒防护扫描期间评估的规则结果处理规则 (3) - 病毒防护扫描后评估的规则示例对象隔离包含恶意软件或受密码保护损坏或加密的附件的邮件为邮件传输防护创建以下规则条件类型病毒防护扫描结果操作不是参数清除操作类型隔离邮件示例对象将未通过 SPF 检查的邮件移动到垃圾邮件文件夹为邮件传输防护创建以下规则条件类型 SPF 结果操作为参数已失败 107

108 操作类型设置 SCL 值值 5 根据 Exchange Server 的 Get-OrganizationConfig cmdlet 的SCLJunkThreshold 参数设置值有关更多详细信息请参阅 SCL 阀值操作文章示例对象丢弃来自特定发件人的邮件为邮件传输防护创建以下规则条件类型发件人操作为为其中一个参数 spammer1@domaincom, spammer2@domaincom 操作类型以静默方式丢弃邮件示例对象自定义预定义的规则详细信息在使用禁止的压缩文件附件规则时允许在来自指定 IP 地址例如内部系统的邮件中压缩附件打开邮件传输防护规则集选择禁止的压缩文件附件然后单击编辑添加新条件类型发件人的 IP 地址操作不是不是任何参数 1112, 如果已添加新规则或已修改现有规则将使用新的修改的规则自动开始重新扫描邮件如果在设置菜单或高级设置 (F5) > 服务器 > 病毒和间谍软件防护中为邮件传输或邮箱数据库防护层禁用病毒防护它会影响以下规则条件附件名称附件大小附件类型病毒防护扫描结果附件受密码保护附件是已损坏的压缩文件包含已损坏的压缩文件包含受密码保护的压缩文件此外如果在设置菜单或高级设置 (F5) > 服务器 > 病毒和间谍软件防护中为邮件传输层禁用病毒防护它会影响以下规则操作隔离附件删除附件 108

109 4151 规则列表规则列表窗口将显示现有规则规则分为三个级别按以下顺序进行评估过滤规则 (1) - 反垃圾邮件和病毒防护扫描前评估的规则附件处理规则 (2) - 病毒防护扫描期间评估的规则结果处理规则 (3) - 病毒防护扫描后评估的规则同级规则的评估顺序与其在规则窗口中的显示顺序相同您只能更改同级规则的规则顺序示例当您具有多个过滤规则时您可以更改应用它们的顺序您无法通过将附件处理规则放在过滤规则前来更改它们的顺序向下/向下按钮将不可用换句话说您无法混合不同级别的规则点击数列显示成功应用规则的次数取消选中复选框位于每个规则名称的左侧可停用相应的规则直到您再次选中该复选框重要信息通常如果符合规则的条件则对于后续较低优先级的规则将停止规则评估但是可以根据需要使用名为评估其他规则的特殊规则操作来继续执行评估添加 - 添加新规则编辑 - 修改现有规则查看 - 允许您查看从 ERA 策略分配的配置删除 - 删除所选规则向上 - 在列表中向上移动所选规则向下 - 在列表中向下移动所选规则重置 - 重置所选规则的计数器点击数列如果已添加新规则或已修改现有规则将使用新的修改的规则自动开始重新扫描邮件 109

110 当邮件由邮件传输防护邮箱数据库防护或手动数据库扫描处理时将针对该邮件来检查规则每个保护层有单独的规则集当邮箱数据库防护或手动数据库扫描规则条件匹配时规则计数器的计数可能增加 2 或更多这是因为这些保护层单独访问邮件的正文和附件所以规则分别应用于各个部分在后台扫描期间也应用邮箱数据库防护规则例如当 ESET Mail Security 在新的病毒库下载后执行邮箱扫描时这可增加规则计数器命中的计数规则向导您可以使用规则向导定义条件和操作首先定义条件然后定义操作某些条件和操作因特定于邮件传输防护邮箱数据库防护和手动数据库扫描的规则而异这是因为其中每种保护类型都会在处理邮件时使用稍微不同的方法尤其是邮件传输防护 1 单击添加将显示一个规则条件窗口您可以从中选择条件类型操作和值 2 您可以从此处添加规则操作 3 定义条件和操作后请键入规则的名称您将根据它来识别规则此名称将显示在规则列表中名称为必填字段如果该字段以红色突出显示请在文本框中键入规则名称然后单击确定以创建该规则即使已输入规则名称红色突出显示也不会消失直到您单击确定之后才会消失 4 如果要准备规则但打算以后再使用它们可以单击活动旁边的开关来停用规则若要激活规则请从规则列表中选中要激活的规则旁边的复选框重要信息您可以定义多个条件如果您定义了多个条件则必须满足所有条件才能应用该规则使用逻辑运算符 AND 连接所有条件即使大部分条件都满足但有一个条件不满足也会将条件评估结果视为不满足并且不会执行该规则的操作如果使用参数 %IPAddress% 为邮箱数据库防护配置操作类型登录事件对于此特定事件日志文件中的事件列将为空这是因为在邮箱数据库防护级别上没有 IP 地址某些选项并不适用于所有防护级别 IP 地址 - 手动数据库扫描和邮箱数据库防护会忽略它 110

111 邮箱 - 邮件传输防护会忽略它规则条件您可以使用此向导来为规则添加条件从下拉列表中选择条件类型和一个操作操作列表会根据您选择的规则类型而更改然后选择一个参数参数字段将根据规则类型和操作而更改或者您可以指定正则表达式选择操作匹配正则表达式或不匹配正则表达式 ESET Mail Security 使用 std::regex 有关构建正则表达式请参考 ECMAScript 语法示例例如选择文件大小 > 大于然后在参数下指定 10 MB 使用这些设置后将使用您已指定的规则操作处理任何大于 10 MB 的文件因此如果您在为规则设置参数时未指定在触发给定规则时所执行的操作您应该指定该操作重要信息您可以定义多个条件如果您定义了多个条件则必须满足所有条件才能应用该规则使用逻辑运算符 AND 连接所有条件即使大部分条件都满足但有一个条件不满足也会将条件评估结果视为不满足并且不会执行该规则的操作以下条件类型适用于邮件传输防护邮箱数据库防护和手动数据库扫描根据之前所选的条件某些选项可能不显示条件名称邮箱数邮件传据库防输防护护手动数据库扫描述描主题应用于主题中包含或未包含特定字符串或正则表达式的邮件发件人应用于由特定发件人发送的邮件 SMTP 发件人 SMTP 连接期间所使用的 MAIL FROM 信封属性也用于 SPF 验证发件人的 IP 地址应用于从特定 IP 地址发送的邮件发件人的域应用于来自电子邮件地址中包含特定域的发件人的邮件 SMTP 发件人的域应用于来自电子邮件地址中包含特定域的发件人的邮件 From 标头 From: 值包含在消息头中这是收件人可见的地址但未检查发送系统是否授权代表该地址进行发送它经常用于欺骗发件人收件人应用于发送给特定收件人的邮件收件人的组织单位应用于发送给属于特定组织单元的收件人的邮件收件人验证结果应用于在发送给在 Active Directory 中经验证的收件人的邮件附件名称应用于包含带有特定名称的附件的邮件附件大小应用于带有未达到指定大小在指定大小范围内或超出指定大小的附件的邮件 111

112 条件名称邮箱数邮件传据库防输防护护手动数据库扫描述描附件类型应用于附带指定文件类型的邮件文件类型归类为多个组以便于选择您可以选择多个文件类型或全部类别邮件大小应用于带有未达到指定大小在指定大小范围内或超出指定大小的附件的邮件邮箱应用于位于特定邮箱中的邮件邮件标题应用于邮件标题中存在特定数据的邮件反垃圾邮件扫描结果应用于标记为或未标记为有害或垃圾邮件的邮件病毒防护扫描结果应用于标记为恶意或非恶意的邮件内部邮件根据邮件是否是内部邮件来应用接收时间应用于在特定日期之前或之后或者在特定日期范围内接收的邮件包含受密码保护的压缩文件应用于带有受密码保护的压缩文件附件的邮件包含已损坏的压缩文件应用于带有已损坏很可能无法打开的压缩文件附件的邮件附件是受密码保护的压缩文件应用于受密码保护的附件附件是已损坏的压缩文件应用于已损坏很可能无法打开的附件文件夹名称应用于位于特定文件夹中的邮件如果相应文件夹不存在会创建该文件夹此操作不适用于公共文件夹 DKIM 结果应用于通过或未通过 DKIM 验证如果不可用则二者择一的邮件 SPF 结果应用于通过或未通过 SPF 验证如果不可用则二者择一的邮件 DMARC 结果应用于通过或未通过 SPF DKIM 或两者同时验证如果不可用则二者择一的邮件条件类型与以下操作相关联字符串是不是, 包含, 不包含, 匹配, 不匹配, 在其中, 不在其中数量小于, 大于, 介于文本包含, 不包含, 匹配,不匹配日期时间小于, 大于, 介于枚举是不是在其中不在其中 112

113 如果附件名或附件类型为 Microsoft Office (2007+) 文件则 ESET Mail Security 将其视为压缩文件这意味着已提取其内容并且对 Office 压缩文件例如 docx xlsx xltx pptx ppsx potx等中包含的每个文件分别进行扫描规则操作您可以添加将对与规则条件匹配的邮件和或附件执行的操作可以为一个规则添加多个操作邮件传输防护邮箱数据库防护和手动数据库扫描的可用操作列表根据所选的条件某些选项可能不显示操作名称邮件传输防护邮箱数据库防护手动数据描述库扫描隔离邮件邮件将不会投递给收件人并且将移动到邮件隔离区隔离附件将电子邮件附件放入文件隔离区电子邮件将投递给收件人同时将附件截断为零长度删除附件删除邮件附件邮件将在不带附件的情况下投递给收件人拒绝邮件将不会投递邮件并且将向发件人发送一个 NDR 未送达报告以静默方式丢弃邮件在不发送 NDR 的情况下删除邮件设置 SCL 值更改或设置特定的 SCL 值发送电子邮件通知将电子邮件通知发送给电子邮件通知中指定的收件人您需要启用通过电子邮件发送事件通知功能然后您可以自定义事件邮件的格式使用提供建议的工具提示同时创建规则此外您可以为事件邮件选择级别但是这取决于电子邮件通知部分中的最低级别设置跳过反垃圾邮件扫描反垃圾邮件引擎将不会扫描邮件跳过病毒防护扫描病毒防护引擎将不会扫描邮件评估其他规则允许评估其他规则使用户可以定义多组条件以及要在给定条件下执行的多种操作记入事件将有关应用规则的信息写入程序日志并定义事件邮件的格式使用提供建议的工具提示添加标题字段将自定义字符串添加到邮件标题使用操作信息替换附件删除附件并将有关对附件所执行操作的信息添加到电子邮件正文删除邮件删除被感染的邮件 113

114 操作名称邮件传输防护邮箱数据库防护手动数据描述库扫描将电子邮件移到文件夹会将邮件移动到特定文件夹将邮件移至垃圾桶将电子邮件放入电子邮件客户端的垃圾桶文件夹应用 DMARC 策略如果满足 DMARC 结果条件将根据发件人域的 DMARC DNS 记录中指定的策略处理电子邮件 416 邮件传输防护以下系统的高级设置 > 服务器下提供了邮件传输防护 Microsoft Exchange Server 2003 前端服务器 Microsoft Exchange Server 2003 带有多种角色的单服务器安装 Microsoft Exchange Server 2007 Edge 传输或 Hub 传输服务器角色 Microsoft Exchange Server 2007 带有多种角色的单服务器安装 Microsoft Exchange Server 2010 Edge 传输或 Hub 传输服务器角色 Microsoft Exchange Server 2010 带有多种角色的单服务器安装 Microsoft Exchange Server 2013 Edge 传输服务器角色 Microsoft Exchange Server 2013 带有多种角色的单服务器安装 Microsoft Exchange Server 2016 Edge 传输服务器角色 Microsoft Exchange Server 2016 邮箱服务器角色 Windows Small Business Server 2008 Windows Small Business Server 2011 在无法清除时可采取的操作下可以设置传输层上的以下任何病毒防护操作不操作保留无法清除的被感染邮件隔离邮件将被感染邮件发送到隔离邮箱拒绝邮件拒绝被感染的邮件以静默方式丢弃邮件 - 删除邮件时不发送 NDR 未送达报告如果选择无操作的同时在病毒和间谍软件防护的 ThreatSense 参数中将清除级别设置为不清除保护状态将变为黄色这是因为此设置存在安全风险我们建议您不要使用此组合设置更改两个设置中的任何一个以便实现较高的防护级别在对垃圾邮件采取的操作下可以设置传输层上的以下任何反垃圾邮件操作 114 不操作 - 保留邮件即使邮件已标记为垃圾邮件隔离邮件 - 将标记为垃圾邮件的邮件发送到隔离邮箱拒绝邮件拒绝标记为垃圾邮件的邮件以静默方式丢弃邮件 - 删除邮件时不发送 NDR 未送达报告

SMTP 拒绝响应 - 您可以指定响应代码状态代码和响应消息它们定义邮件遭拒绝时发送给 SMTP 服务器的 SMTP 临时拒绝响应您可以用以下格式输入响应消息响应代码状态代码响应消息 250 250 请求的邮件操作已成功完成 451 451 请求的操作已中止处理时发生本地错误 550 550 请求的操作未执行邮箱不可用 554 560 无效内容注释在配置 SMTP

115 SMTP 拒绝响应 - 您可以指定响应代码状态代码和响应消息它们定义邮件遭拒绝时发送给 SMTP 服务器的 SMTP 临时拒绝响应您可以用以下格式输入响应消息响应代码状态代码响应消息请求的邮件操作已成功完成请求的操作已中止处理时发生本地错误请求的操作未执行邮箱不可用无效内容注释在配置 SMTP 拒绝响应时也可以使用系统变量将扫描结果写入邮件标题 - 如果启用扫描结果将写入邮件标题这些邮件标题以使它们容易识别的 X_ESET 开头例如 X_EsetResult 或 X_ESET_Antispam 向已扫描邮件的正文添加通知提供三个选项不要附加到邮件仅附加到被感染的邮件附加到所有已扫描邮件不适用于内部邮件向被感染邮件的主题添加注释 - 如果启用 ESET Mail Security 将向电子邮件主题附加通知标签该标签具有在添加到被感染邮件主题的模板文本字段中定义的值预定义的默认文本为 [found threat %VIRUSNAME%] 此修改可用于通过过滤具有特定主题的电子邮件自动进行被感染邮件过滤例如使用规则或客户端上的选择如果受电子邮件客户端支持将这些电子邮件放入单独的文件夹向垃圾邮件的主题添加注释 - 如果启用 ESET Mail Security 将向电子邮件主题附加通知标签该标签具有在添加到垃圾邮件主题的模板文本字段中定义的值预定义的默认文本为 [SPAM] 此修改可用于通过过滤具有特 115

定主题的电子邮件自动进行垃圾邮件过滤例如使用规则或客户端上的选择如果受电子邮件客户端支持将这些电子邮件放入单独的文件夹注释当编辑将要添加到主题的文本时您还可以使用系统变量 4161 高级设置在本部分中您可以更改针对传输代理的高级设置同时扫描从验证或内部连接接收的邮件 - 对于从已进行身份验证的源或者本地服务器收到的邮件您可以选择应执行的扫描类型但是如果您使用内置的

116 定主题的电子邮件自动进行垃圾邮件过滤例如使用规则或客户端上的选择如果受电子邮件客户端支持将这些电子邮件放入单独的文件夹注释当编辑将要添加到主题的文本时您还可以使用系统变量 4161 高级设置在本部分中您可以更改针对传输代理的高级设置同时扫描从验证或内部连接接收的邮件 - 对于从已进行身份验证的源或者本地服务器收到的邮件您可以选择应执行的扫描类型但是如果您使用内置的 Microsoft SBS POP3 连接器获取来自外部 POP3 服务器或邮件服务器例如 Gmailcom Outlookcom Yahoocom gmxdem 等的电子邮件建议扫描此类信息因为可以加强防护有关详细信息请参阅 POP3 连接器和反垃圾邮件此设置可为已进行身份验证的用户和内部连接打开关闭反垃圾邮件防护来自未经过身份验证连接的电子邮件始终要经过扫描即使已选择不扫描也是如此在组织内部 Outlook 的内部邮件将以 TNEF 格式传送中性封装格式发送 TNEF 不受反垃圾邮件支持因此 TNEF 格式的内部电子邮件将不会被扫描为垃圾邮件即使已选择通过反垃圾邮件防护扫描或通过病毒和反垃圾邮件防护扫描也是如此在标题中搜索发件人的来源 IP 地址 - 如果启用 ESET Mail Security 将在邮件标题中寻找来源 IP 地址以便不同的防护模块反垃圾邮件以及其他模块可以使用它如果您的 Exchange 组织被代理网关或 Edge 传输服务器隔离则电子邮件会显示为来自单个 IP 地址通常是内部地址通常在发件人的 IP 地址已知的外部服务器例如 DMZ 中的 Edge 传输上此 IP 地址将写入到所接收的电子邮件的邮件标题中在下方带有来源 IP 的标题字段中指定的值是 ESET Mail Security 在邮件标题中寻找的标题 116

117 带有来源 IP 的标题 - 是 ESET Mail Security 在邮件标题中寻找的标题通常为 X-Originating-IP 但您可以输入其他行业标准标头例如 X-Forwarded-For 或 Forwarded 请参阅 HTTP 标头字段列表对邮箱隔离启用内部邮件的隔离 - 当启用时将隔离内部邮件通常无需隔离内部邮件扫描前删除现有 SCL 标题 - 默认情况下启用此选项如果需要保留垃圾邮件可信度 (SCL) 标题您可以禁用此选项 417 邮箱数据库防护以下系统的高级设置 > 服务器下提供了邮件数据库防护 Microsoft Exchange Server 2003 后端服务器 Microsoft Exchange Server 2003 带有多种角色的单服务器安装 Microsoft Exchange Server 2007 邮箱服务器角色 Microsoft Exchange Server 2007 带有多种角色的单服务器安装 Microsoft Exchange Server 2010 邮箱服务器角色 Microsoft Exchange Server 2010 带有多种角色的单服务器安装 Windows Small Business Server 2003 Windows Small Business Server 2008 Windows Small Business Server 2011 邮箱数据库防护不适用于 Microsoft Exchange Server 2013 和 2016 如果取消选中启用病毒和间谍软件防护 VSAPI 26 Exchange 服务器的 ESET Mail Security 插件将不会从 Microsoft Exchange Server 进程卸载它将仅通过邮件而不扫描病毒然而仍将扫描邮件是否为垃圾邮件并将应用规则如果主动扫描已启用新的入站邮件将以邮件接收的相同顺序进行扫描如果此选项已启用而且用户打开了还未扫描的邮件那么此邮件将在队列中的其他邮件之前进行扫描后台扫描允许扫描要在后台运行的所有邮件扫描运行在邮箱和公共文件夹存储上例如 Exchange 数据库 Microsoft Exchange Server 根据各种因素例如当前系统负载活动用户数等决定是否将运行后台扫描 Microsoft Exchange Server 保留扫描的邮件和所用病毒库版本的记录如果您打开尚未由最新病毒库扫描的邮件 Microsoft Exchange Server 会将邮件发送至 ESET Mail Security 以便在电子邮件客户端上打开该邮件之前进行扫描您可以选择仅扫描带有附件的邮件并使用以下扫描级别选项根据接收时间进行过滤所有邮件过去一年内收到的邮件过去 6 个月内收到的邮件过去 3 个月内收到的邮件上个月收到的邮件上周收到的邮件因为后台扫描可能影响系统负载在每次病毒库更新后执行扫描我们建议您将扫描安排在空闲时间段执行计划的后台扫描可以通过计划任务中的特殊任务配置当您计划后台扫描任务时可以设置启动时间重复次数以及在计划任务中可用的其他参数在任务已计划后它将出现在计划任务列表中您可以修改其参数删除它或临时停用该任务启用扫描 RTF 邮件正文选项将启用 RTF 邮件正文的扫描 RTF 邮件正文可能包含宏病毒注释纯文本电子邮件正文不由 VSAPI 扫描注释处理公共文件夹的方式与处理邮箱相同这意味着同样可以扫描公共文件夹 117

118 418 手动数据库扫描手动数据库扫描适用于以下系统类型 Microsoft Exchange Server 2007 邮箱或 Hub 传输服务器角色 Microsoft Exchange Server 2007 带有多种角色的单服务器安装 Microsoft Exchange Server 2010 邮箱或 Hub 传输服务器角色 Microsoft Exchange Server 2010 带有多种角色的单服务器安装 Microsoft Exchange Server 2013 邮箱服务器角色 Microsoft Exchange Server 2013 带有多种角色的单服务器安装 Microsoft Exchange Server 2016 邮箱服务器角色 Windows Small Business Server 2008 Windows Small Business Server 2011 如果运行的是 Microsoft Exchange Server 或 2016 可以在邮箱数据库防护和手动数据库扫描之间进行选择同一时间只能使用其中一种防护类型如果决定使用手动数据库扫描需要在服务器下的高级设置中禁用邮箱数据库防护集成否则手动数据库扫描将不可用主机地址 - 运行 EWS Exchange Web 服务的服务器的名称或 IP 地址用户名 - 指定对 EWS Exchange Web 服务拥有相应访问权限的用户凭据用户密码 - 单击用户密码旁边的设置并键入此用户帐户的密码重要信息若要扫描公共文件夹用于手动数据库扫描的用户帐户需要拥有一个邮箱否则数据库扫描日志中将显示 Failed to load public folders 错误消息 Exchange 还会返回更多具体消息将 ApplicationImpersonation 角色分配到用户 - 如果此选项灰显需要指定用户名单击分配以自动将 ApplicationImpersonation 角色分配给选定的用户此外也可以手动将 ApplicationImpersonation 角色分配给用户帐户有关详细信息请参阅数据库扫描帐户详细信息使用 SSL - 在 IIS 中如果 EWS Exchange Web 服务设置为要求 SSL 则需启用 SSL 如果启用 SSL 则必须在带有 ESET Mail Security 的系统上导入 Exchange Server 证书以防 Exchange Server 角色位于不同的服务器上可以在 Sites/Default web site/ews/ssl Settings 下的 IIS 中找到 EWS 的设置仅当您已在 IIS 中将 EWS 配置为不需要 SSL 时才禁用使用 SSL 118

客户端证书 - 仅在 Exchange Web 服务需要客户端证书时才需要对其进行设置单击选择选择一个证书无法清除时可采取的操作此操作字段允许阻止已感染的内容无操作 - 对被感染的邮件内容不采取任何操作将邮件移至垃圾桶 - 不支持公共文件夹项将改为应用删除对象操作删除对象 - 删除被感染的邮件内容删除邮件 - 删除整个邮件包括其被感染的内容使用操作信息替换对象 -

119 客户端证书 - 仅在 Exchange Web 服务需要客户端证书时才需要对其进行设置单击选择选择一个证书无法清除时可采取的操作此操作字段允许阻止已感染的内容无操作 - 对被感染的邮件内容不采取任何操作将邮件移至垃圾桶 - 不支持公共文件夹项将改为应用删除对象操作删除对象 - 删除被感染的邮件内容删除邮件 - 删除整个邮件包括其被感染的内容使用操作信息替换对象 - 删除某个对象并包含已删除对象的信息扫描线程数 - 您可以指定 ESET Mail Security 在扫描数据库时应使用多少个线程数字越大性能越好不过这会影响资源的使用量默认值设置为 6 个扫描线程注释如果您配置手动数据库扫描以使用过多线程可能会给您的系统带来过多负载这反而可能会减慢其他进程甚至整个系统您可能会遇到显示打开的并发连接过多的错误消息 4181 其他邮箱项目您可以使用手动数据库扫描程序设置来启用或禁用其他邮箱项目类型的扫描扫描日历扫描任务扫描联系人扫描日记如果您遇到性能问题可以禁用这些项目的扫描当启用这些项目时扫描将需要更长时间 119

4182 代理服务器如果您在带有 CAS 角色的 Exchange Server 和安装了 ESET Mail Security 的 Exchange Server 之间使用代理服务器请指定代理服务器的参数因为 ESET Mail Security 通过 HTTP/HTTPS 连接到 EWS Exchange Web 服务 API 所以这是必需的否则隔离邮箱和 MS

120 4182 代理服务器如果您在带有 CAS 角色的 Exchange Server 和安装了 ESET Mail Security 的 Exchange Server 之间使用代理服务器请指定代理服务器的参数因为 ESET Mail Security 通过 HTTP/HTTPS 连接到 EWS Exchange Web 服务 API 所以这是必需的否则隔离邮箱和 MS Exchange 隔离区将不起作用代理服务器 - 输入您使用的代理服务器的 IP 地址或名称端口 - 输入代理服务器的端口号用户名密码 - 如果您的代理服务器需要验证请输入凭据 4183 数据库扫描帐户详细信息如果您未在高级设置中为数据库扫描指定用户名和密码将显示此对话窗口在此弹出窗口中指定有权访问 EWS Exchange Web 服务的用户的凭据然后单击确定另外通过按 F5 转到高级设置然后导航到服务器 > 手动数据库扫描键入用户名单击设置为此用户帐户输入密码然后单击确定单击保存帐户信息旁边的复选框以保存帐户设置否则每次运行手动数据库扫描时系统将提示您输入帐户信息如果用户帐户没有相应的 EWS 访问权限可以选择创建 ApplicationImpersonation 角色分配来将此角色分配到用户帐户此外也可以手动分配 ApplicationImpersonation 角色请参阅下方的说明以了解详细信息重要信息扫描帐户必须已分配 ApplicationImpersonation 角色才能允许扫描引擎扫描 Exchange 邮箱数据库内的用户邮箱如果您运行的是 Exchange Server 2010 或更高版本将为用户帐户创建新的无限制 EWS 限制策略确保为扫描帐户配置 EWS 限制策略以避免 ESET Mail Security 发出过多操作请求否则可能导致某些请求超时请参阅 EWS 最佳实践和了解客户端限制策略文章来了解限制策略另请参阅更改特定用户的用户限制设置一文来进一步了解详细信息和示例如果您希望将 ApplicationImpersonation 角色手动分配给某个用户帐户并为此帐户创建新的 EWS 限制策略可以使用以下命令将 ESET-user 替换为您的系统中的实际帐户名称您还可以为 EWS 限制策略设置限制方法是将 $null 替换为数字 Exchange Server 2007 Get-ClientAccessServer Add-AdPermission -User ESET-user -ExtendedRights ms-exch-epi-impersonation Get-MailboxDatabase Add-AdPermission -User ESET-user -ExtendedRights ms-exch-epi-may-impersonate Exchange Server 2010 New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation -Role:ApplicationImpersonation User:ESET-user 需要花费一些时间才会生效 120

New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSFindCountLimit $null EWSFastSearchTimeoutInSeconds $null -EWSMaxConcurrency $null -EWSPercentTimeInAD $null EWSPercentTimeInCAS $null

121 New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSFindCountLimit $null EWSFastSearchTimeoutInSeconds $null -EWSMaxConcurrency $null -EWSPercentTimeInAD $null EWSPercentTimeInCAS $null -EWSPercentTimeInMailboxRPC $null Set-ThrottlingPolicyAssociation -Identity user-eset -ThrottlingPolicy ESET-ThrottlingPolicy Exchange Server 2013 和 2016 New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation -Role:ApplicationImpersonation User:ESET-user 需要花费一些时间才会生效 New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSMaxConcurrency Unlimited -EwsCutoffBalance Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited Set-ThrottlingPolicyAssociation -Identity ESET-user -ThrottlingPolicy ESET-ThrottlingPolicy 419 邮件隔离邮件隔离管理器可用于所有三种隔离类型本地隔离隔离邮箱 MS Exchange 隔离区可以在适用于所有隔离类型的邮件隔离管理器中查看邮件隔离的内容另外本地隔离也可以在邮件隔离 Web 界面中查看为不存在的收件人存储邮件 - 此设置适用于由病毒防护反垃圾邮件防护或基于规则标记为要隔离的邮件启用后发送给 Active Directory 中不存在收件人的邮件会存储在邮件隔离区中如果您不希望在邮件隔离区中保留此类邮件则禁用此功能禁用后将以静默方式丢弃发送给未知收件人的邮件示例 121

122 如果您要对所有发送给不存在的收件人的邮件进行隔离不管是否由病毒防护或反垃圾邮件防护标记请为邮件传输防护创建特定规则其中带有条件类型收件人验证结果操作为参数包含无效收件人以及一个操作类型隔离邮件发布电子邮件时跳过评价规则 - 当您发布隔离区中的邮件时不会使用规则对该邮件进行评价这会阻止邮件被重新置于隔离区中并且将成功地向收件人投递已发布的邮件仅当管理员发布该邮件时才使用此功能如果您禁用此功能或者邮件由管理员之外的用户发布将使用规则对该邮件进行评估上述两个设置仅适用于 Microsoft Exchange Server 2007 及更高版本 4191 本地隔离本地隔离使用本地文件系统存储隔离的电子邮件并使用 SQLite 数据库作为索引出于安全原因将对存储的隔离电子邮件文件以及数据库文件进行加密这些文件位于 C:\ProgramData\ESET\ESET Mail Security \MailQuarantine 在 Windows Server 2008 和 2012 上或 C:\Documents and Settings\All Users\Application Data \ESET\ESET Mail Security\MailQuarantine 在 Windows Server 2003 上下如果想要将隔离的文件存储在默认 C: 驱动器之外的其他磁盘上请在安装 ESET Mail Security 期间将数据文件夹更改为您的首选路径本地隔离功能垃圾邮件和隔离电子邮件将存储在本地文件系统中而不是 Exchange 邮箱数据库中本地已存储隔离电子邮件文件的加密和压缩作为邮件隔离管理器替代项的邮件隔离 Web 界面可以使用计划任务向指定的电子邮件地址发送隔离报告从隔离窗口中删除的隔离电子邮件文件默认 21 天后存储在文件系统中直到指定天数后发生自动检测旧电子邮件文件的自动检测默认 3 天后有关详细信息请参阅文件存储设置您可以使用 eshell 还原已删除的隔离电子邮件文件假设它们尚未从文件系统中删除使用本地隔离的缺点是如果您使用 Hub 传输服务器角色运行 ESET Mail Security 多个服务器则需要分别管理每个服务器的本地隔离服务器越多需要管理的隔离就越多检查隔离电子邮件并决定删除或发布其中任意电子邮件若要查看和管理从本地隔离的电子邮件您可以使用主 GUI 中的邮件隔离管理器或邮件隔离 Web 界面文件存储在此部分中您可以更改本地隔离区所使用的文件存储的设置压缩隔离文件 - 压缩隔离文件占用较少磁盘空间但是如果您决定不压缩文件则请使用开关关闭压缩天后清除旧文件 - 当消息达到指定天数时将从隔离区窗口中删除这些文件但是在天后清除旧文件中指定的天数内将不会从磁盘中删除文件由于文件不会从系统中删除可以使用 eshell 恢复此类文件天后清除已删除的文件 - 在指定天数后从磁盘中删除文件这些文件删除后将无法恢复除非您准备了文件系统备份解决方案 122

41912 W e b 界面邮件隔离 Web 界面是对邮件隔离管理器的替代但是它仅适用于本地隔离邮件隔离 Web 界面在带有 Edge 传输服务器角色的服务器上不可用这是因为无法访问 Active Directory 进行验证邮件隔离 Web 界面允许您查看邮件隔离的状态它还使您可以管理隔离的电子邮件对象此 Web 界面可通过隔离报告中的链接或直接通过将 URL 输入

123 41912 W e b 界面邮件隔离 Web 界面是对邮件隔离管理器的替代但是它仅适用于本地隔离邮件隔离 Web 界面在带有 Edge 传输服务器角色的服务器上不可用这是因为无法访问 Active Directory 进行验证邮件隔离 Web 界面允许您查看邮件隔离的状态它还使您可以管理隔离的电子邮件对象此 Web 界面可通过隔离报告中的链接或直接通过将 URL 输入 Web 浏览器来访问若要访问邮件隔离 Web 界面您必须使用域凭据进行验证 Internet Explorer 将自动对域用户进行身份验证但是网页证书必须有效自动登录在 IE 中必须处于启用状态并且必须将邮件隔离网站添加到本地内联站点存在于 Active Directory 中的任何用户都可以访问邮件隔离 Web 接口但只会看到发送到该用户电子邮件地址这也包括该用户的别名的隔离项目管理员能够看到所有收件人的所有隔离项目启用 Web 界面开关允许您禁用或启用 Web 界面重要信息 ESET Mail Security 不会使用 IIS 运行邮件隔离 Web 界面它改为使用 HTTP 服务器 API 该 API 包含对允许通过安全 HTTP 连接进行数据交换的 SSL 支持 Windows Server 2003 除外需要在 IIS 中安装网站证书才能支持 SSL 通信 Web URL - 此 URL 上将提供邮件隔离的 Web 界面默认情况下它是具有 /quarantine 的服务器的 FQDN 例如 mailservercompanycom/quarantine 您可以指定您自己的虚拟目录而不是默认的 /quarantine 可以通过编辑 Web URL 的值来随时进行更改指定 Web URL 值无需方案 HTTP HTTPS 和端口号仅采用 fqdn/ virtualdirectory 形式您还可以使用通配符替代 FQDN 123

注释 ESET Mail Security 支持四种不同形式的 Web URL 强通配符 ( +/quarantine) 显式 ( mydomaincom/quarantine) 绑定 IP 的弱通配符 ( 19216800/quarantine) 弱通配符 ( */quarantine) 有关详细信息请参阅 URL 前缀字符串一文的主机说明符类别部分注释修改 Web URL 后

124 注释 ESET Mail Security 支持四种不同形式的 Web URL 强通配符 ( +/quarantine) 显式 ( mydomaincom/quarantine) 绑定 IP 的弱通配符 ( /quarantine) 弱通配符 ( */quarantine) 有关详细信息请参阅 URL 前缀字符串一文的主机说明符类别部分注释修改 Web URL 后可能无法通过单击恢复图标将它恢复回默认值删除输入内容将文本框保留为空重新启动服务器当 ESET Mail Security 启动并发现 Web URL 为空时它会自动使用默认 fqdn/quarantine 值填充此字段 HTTPS 端口 - 用于 Web 界面默认端口号为 443 HTTP 端口 - 用于通过电子邮件报告发布隔离区中的电子邮件重要信息如果更改 HTTPS 或 HTTP 的端口号请务必在 IIS 中添加相应的端口绑定启用默认管理员 - 默认情况下将向管理员组的成员授予邮件隔离 Web 界面的管理员访问权限管理员访问权限没有限制可使管理员查看所有收件人的所有隔离项目如果禁用此选项则仅管理员用户帐户具有邮件隔离 Web 界面的访问权限其他访问权限 - 向用户授予邮件隔离 Web 界面的其他访问权限并选择访问类型单击编辑打开其他访问权限窗口单击添加向用户授予访问权限在新访问权限弹出窗口中单击选择并从 Active Directory 中选择某个用户只能选择一个用户然后从下拉列表中选择访问类型管理员 - 用户拥有邮件隔离 Web 界面的管理员访问权限委托的访问权限 - 如果您希望允许委托用户查看和管理另一个收件人的隔离邮件可使用此访问类型通过键入用户的电子邮件地址来指定收件人地址该用户的隔离邮件将由代表管理如果用户在 Active Directory 中具有别名可以在需要时将其他访问权限添加到每个别名 124

被授予邮件隔离 Web 界面的其他访问权限的用户示例若要访问邮件隔离的 Web 界面请打开 Web 浏览器并使用在高级设置 > 服务器 > 邮件隔离 > Web 界面 > Web URL 中指定的 URL 发布 - 使用重播目录将电子邮件发布给原始收件人并将其从隔离区中删除单击提交确认该操作

125 被授予邮件隔离 Web 界面的其他访问权限的用户示例若要访问邮件隔离的 Web 界面请打开 Web 浏览器并使用在高级设置 > 服务器 > 邮件隔离 > Web 界面 > Web URL 中指定的 URL 发布 - 使用重播目录将电子邮件发布给原始收件人并将其从隔离区中删除单击提交确认该操作从隔离区发布电子邮件时 ESET Mail Security 会忽略 To: MIME 标头因为它非常容易仿冒它改为使用来自 SMTP 连接期间获取的 RCPT TO: 命令中的原始收件人信息这可确保正确的电子邮件收件人收到从隔离区中发布的邮件删除 - 从隔离区中删除项目单击提交确认该操作 125

126 单击主题时将打开一个弹出窗口其中含有已隔离电子邮件的详细信息例如类型原因发件人日期附件等 126

127 单击显示标题可查看已隔离电子邮件的标题如果需要请单击发布或删除来对隔离的电子邮件执行操作注释您必须关闭浏览器窗口才能从邮件隔离 Web 界面完全注销否则请单击转到隔离视图来返回到上一屏幕重要信息如果您在从浏览器访问邮件隔离 Web 界面时遇到问题或者得到错误消息HTTP Error Forbidden或类似消息请检查选择了哪种隔离类型并确保它是本地隔离并且启用 Web 界面处于启用状态 127

128 4192 隔离邮箱和 MS E xc ha ng e 隔离如果您决定不使用本地隔离则您有两个选项隔离邮箱或 MS Exchange 隔离区无论您选择哪个选项您都需要创建带有一个邮箱例如 main_quarantine@companycom 的专用用户之后该用户将用于存储隔离的电子邮件此用户和邮箱还将由邮件隔离管理器用于查看和管理隔离区中的项目您将需要在隔离管理器设置中指定此用户的帐户详细信息使用隔离邮箱 MS Exchange 隔离区相对于使用本地隔离区的优势在于无论有多少使用 Hub 传输服务器角色的服务器都从一个位置管理邮件隔离项目不同于本地隔离隔离邮箱 MS Exchange 隔离区 SPAM 和隔离的电子邮件存储在 Exchange 邮箱数据库内有权访问隔离邮箱的任何人都可以管理隔离邮件在对隔离邮箱与 MS Exchange 隔离区进行比较后会发现这两个选项都使用专用邮箱作为存储隔离邮件的内在机制但在将电子邮件发送到邮箱时采用的方式上略有不同隔离邮箱与 MS Exchange 隔离区如果选择隔离邮箱则 ESET Mail Security 会创建一封单独的封装电子邮件其中带有其他信息以及作为附件的原始电子邮件然后将它发送到邮箱如果选择 MS Exchange 隔离区则 Exchange Server 会亲自负责将该电子邮件发送到邮箱邮箱必须在 Active Directory 中设置为组织级别的隔离区通过以下列出的 PowerShell 命令重要信息不建议您使用管理员用户帐户作为隔离邮箱 MS Exchange 隔离区 ESET Mail Security 使用 Microsoft Exchange 隔离系统这应用于 Microsoft Exchange Server 2007 和更新版本在此情况下 Exchange 的内部机制用于存储潜在的被感染邮件和垃圾邮件 MS Exchange 隔离区不适用于 Microsoft Exchange 2003 仅本地隔离区和隔离邮箱适用默认情况下不激活 Microsoft Exchange 内的内部隔离区除非已激活它否则打开 Exchange Management Shell 并键入以下命令将 Name@domaincom 替换为您的专用邮箱的实际地址 Set-ContentFilterConfig -Quarantin box name@domaincom 隔离邮箱时指定邮件隔离地址例如 main_quarantine@companycom 隔离区管理器设置主机地址 - 如果您的带有客户端访问服务器 (CAS) 角色的 Exchange Server 存在于本地将自动显示此外如果 CAS 角色不存在于安装了 ESET Mail Security 的相同服务器上但可以在 Active Directory AD 内找到它则主机地址将自动显示如果未显示可以手动键入主机名称自动检测将不会对 Edge 传输服务器角色起作用如果您的邮件隔离管理器灰显这由以下原因造成您运行的 Microsoft Exchange Server 2003/2003 R2 或 SBS 2003/SBS 2003 R2 不支持此功能或者未提供 Exchange Web 服务 (EWS) 这不适用于本地隔离无论是否提供 Exchange Web 服务 (EWS) 本地隔离在所有 Exchange Server 上都能够正常工作不支持 IP 地址您需要使用 CAS 服务器的主机名称用户名 - 您为存储隔离邮件创建的专用隔离用户帐户或有权通过访问委派访问此邮箱的帐户在不属于域的 Edge 传输服务器上必须使用完整的电子邮件地址例如 main_quarantine@companycom 密码 - 键入您的隔离帐户的密码使用 SSL - 在 IIS 中如果 Exchange Web 服务 (EWS) 设置为要求 SSL 则需要启用如果启用 SSL 则必须在带有 ESET Mail Security 的系统上导入 Exchange Server 证书以防 Exchange Server 角色位于不同的服务器上可以在 Sites/Default web site/ews/ssl Settings 的 IIS 中找到 EWS 的设置 128

129 仅当在 IIS 中 Exchange Web 服务 (EWS) 配置为不需要 SSL 时禁用使用 SSL 忽略服务器证书错误 - 忽略以下状态自签名证书中名称错误使用错误已过期代理服务器如果您在带有客户端访问服务器 (CAS) 角色的 Exchange Server 和安装了 ESET Mail Security 的 Exchange Server 之间使用代理服务器请指定代理服务器的参数因为 ESET Mail Security 通过 HTTP/HTTPS 连接到 Exchange Web 服务 (EWS) API 所以这是必需的否则隔离邮箱和 MS Exchange 隔离区将不起作用代理服务器 - 输入您使用的代理服务器的 IP 地址或名称端口 - 输入代理服务器的端口号用户名密码 - 如果您的代理服务器需要验证请输入凭据 4193 隔离管理器帐户详细信息如果未针对隔离管理器指定帐户详细信息用户名和密码此对话窗口将显示指定有权访问隔离邮箱的用户的凭据然后单击确定或者按 F5 访问高级设置并导航到服务器 > 邮件隔离 > 隔离管理器设置键入您的隔离邮箱的用户名和密码单击保存帐户信息旁边的复选框保存帐户设置以供将来在访问隔离管理器时使用 42 计算机计算机模块可以在设置 > 计算机下找到它显示之前的章节中所述的防护模块的概述在此部分中提供以下设置文件系统实时防护手动扫描计算机空闲状态下扫描开机扫描可移动磁盘文档防护 HIPS 用于所有防护模块例如文件系统实时防护 Web 访问保护等的扫描程序选项允许您启用或禁用对以下对象的检测潜在的不受欢迎应用程序 (PUA) 未必是恶意的但可能会对计算机性能造成不良影响请阅读词汇表中关于此类应用程序的更多信息 129

130 潜在的不安全应用程序是指有可能被滥用于恶意用途的合法商业软件潜在的不安全应用程序的示例包括远程访问工具密码破解应用程序以及按键记录器记录用户键盘输入信息的程序等此选项默认情况下处于禁用状态请阅读词汇表中关于此类应用程序的更多信息潜在的可疑应用程序包括用加壳程序或保护程序压缩的程序这些类型的保护程序通常被恶意软件作者用来逃避检测反隐藏技术是一个复杂的系统它能够检测危险程序例如 rootkits 这些程序可在操作系统下隐藏自己使得使用普通测试技术无法检测到它们进程排除 - 允许您排除特定进程例如备份解决方案的进程系统将忽略所有归于此类排除进程的文件操作并将其视为安全操作从而最大程度地减少对备份进程的干预排除 - 使您能够将文件和文件夹排除在扫描之外要确保对所有对象进行威胁扫描我们建议您只在绝对有必要时才创建排除您需要排除某个对象的情况可能包括在扫描期间会使计算机速度变慢的大型数据库条目扫描或遇到与扫描冲突的软件 421 检测到渗透威胁可通过各种渠道进入系统如网页共享文件夹电子邮件或可移动设备 USB 外部磁盘 CD DVD 软盘等标准行为作为 ESET Mail Security 处理威胁方式的常见示例可以使用以下功能检测渗透文件系统实时防护 Web 访问保护电子邮件客户端防护手动计算机扫描每个功能都使用标准清除级别并且将尝试清除文件并将其移动到隔离区或终止连接通知窗口显示在屏幕右下角的通知区域有关清除级别和行为的详细信息请参阅清除清除和删除如果文件系统实时防护没有预定义操作程序将显示一个警报窗口提示您从中选择一个选项一般会有清除删除和不操作等选项不建议选择不操作这样将不会清除被感染文件除非您确信该文件无害只是检测失误所致如果文件遭到了病毒攻击该病毒在被清除文件上附加了恶意代码请应用清除如果是这种情况请尝试清除被感染文件使其恢复到清除之前的初始状态如果文件全部由恶意代码组成将删除该文件如果被感染文件被锁定或正在被系统进程使用通常只在释放后通常是系统重新启动后删除多个威胁如果在计算机扫描期间没有清除任何被感染文件或清除级别设置为不清除则会出现一个警报窗口提示您为这些文件选择相应操作在列表中为每个威胁分别选择一个操作也可以使用为所有列出的威胁选择操作并选择一个要在列表中的所有威胁上采取的操作然后单击完成删除压缩文件中的文件在默认清除模式下仅当压缩文件只包含被感染文件而不包含干净文件时才会删除整个压缩文件换言之如果还包含无害的干净文件就不会删除压缩文件执行严格清除扫描时请小心启用严格清除时即使压缩文件只包含一个被感染文件无论压缩文件中其他文件的状态如何都将删除该压缩文件如果您的计算机有被恶意软件感染的迹象例如速度下降常常停止响应等建议您执行以下操作打开 ESET Mail Security 并单击计算机扫描单击智能扫描有关更多信息请参见计算机扫描扫描完成后查看日志中已扫描文件被感染文件和已清除文件的数量如果您只希望扫描磁盘的某一部分请单击自定义扫描然后选择要扫描的目标以查找病毒 130

131 422 进程排除此功能允许您仅将应用程序进程排除在病毒防护访问扫描之外这些排除可帮助将潜在冲突的风险降至最低并提高已排除应用程序的性能进而对操作系统的整体性能产生积极影响当某个进程排除后不会监视该进程的可执行文件 ESET Mail Security 将不会监视已排除进程的活动并且不会针对该进程所执行的任何文件操作进行任何扫描依次单击添加编辑和删除以管理进程排除示例 Web 访问保护不会考虑此类排除因此即使您排除了 Web 浏览器的可执行文件仍然会扫描下载的文件这样仍可以检测渗透此类情况仅作为示例我们并不建议为 Web 浏览器创建排除 423 自动排除服务器应用程序和操作系统的开发人员建议对于其大多数产品可从病毒防护扫描中排除重要的工作文件和文件夹集合病毒防护扫描可能对服务器性能产生不良影响从而导致冲突甚至妨碍某些应用程序在服务器上的运行排除可帮助将潜在冲突的风险降至最低并在运行病毒防护软件时提高服务器的整体性能请参阅从 ESET 服务器产品扫描中排除的文件的完整列表 ESET Mail Security 识别重要的服务器应用程序和服务器操作系统文件并自动将它们添加到排除列表您可以看到在自动排除以生成下创建的排除所用于的检测到的服务器应用程序的列表默认情况下启用所有的自动排除通过单击带有以下结果的开关您可以禁用启用每个服务器应用程序如果应用程序操作系统排除保持为启用其任何重要文件和文件夹将添加到不予扫描的文件列表高级设置 > 计算机 > 基本 > 排除 > 编辑每次重新启动服务器时系统会执行排除的自动检查并还原可能已从列表删除的任何排除如果您希望确保始终应用建议的自动排除则这就是建议的设置如果用户禁用应用程序操作系统排除其重要文件和文件夹将保留在不予扫描的文件列表中高级设置 > 计算机 > 基本 > 排除 > 编辑然而每次重新启动服务器时不会自动检查它们也不会在排除列表中续订请参见上述第 1 点我们为高级用户建议此设置这些用户希望删除或修改一些标准排除如果您希望从列表中删除排除而无需重新启动服务器您将需要从列表中手动删除它们高级设置 > 计算机 > 基本 > 排除 > 编辑任何在高级设置 > 计算机 > 基本 > 排除 > 编辑下手动输入的用户定义的排除将不受上述设置的影响 Exchange Server 的自动排除基于 Microsoft 的建议 ESET Mail Security 仅应用目录文件夹排除未应用进程排除和文件扩展名排除有关详细信息请参阅以下 Microsoft 知识库文章运行当前受支持的 Windows 版本的企业计算机的病毒扫描建议已安装病毒防护软件的 Exchange Server 计算机故障排除的建议 Exchange 2007 上的文件级别的病毒防护扫描 Exchange 2010 上的文件级别的病毒防护扫描 Exchange Server (Exchange 2013) 上的操作系统中的病毒防护软件在 Exchange 2016 Server 上运行 Windows 病毒防护软件注释还有在本地服务器上托管的 DAG 数据库可用性组中的主动和被动数据库的 Exchange 数据库文件排除每 30 分钟更新自动排除列表如果有新创建的 Exchange 数据库文件将自动排除该文件无论其状态是主动还是被动都是如此 131

424 共享的本地缓存通过消除网络中的重复扫描共享的本地缓存将在虚拟环境中提高性能这可确保每个文件仅扫描一次并且存储在共享的缓存中打开缓存选项开关以将有关扫描网络上的文件和文件夹的信息保存到本地缓存如果您执行新扫描 ESET Mail Security 将在该缓存中搜索已扫描文件如果文件匹配将不对其进行扫描缓存服务器设置包含以下内容主机名 -

132 424 共享的本地缓存通过消除网络中的重复扫描共享的本地缓存将在虚拟环境中提高性能这可确保每个文件仅扫描一次并且存储在共享的缓存中打开缓存选项开关以将有关扫描网络上的文件和文件夹的信息保存到本地缓存如果您执行新扫描 ESET Mail Security 将在该缓存中搜索已扫描文件如果文件匹配将不对其进行扫描缓存服务器设置包含以下内容主机名 - 缓存所在的计算机的名称或 IP 地址端口 - 用于通信的端口号与在共享的本地缓存中设置的端口号相同密码 - 指定共享的本地缓存密码如果需要 425 文件系统实时防护文件系统实时防护控制系统中所有与病毒防护相关的事件在计算机上打开创建或运行所有文件时都将扫描文件是否带有恶意代码文件系统实时防护在系统启动时启动默认情况下文件系统实时防护在系统启动时启动并提供不间断的扫描特殊情况下比如与其他实时扫描程序存在冲突可以通过在高级设置中取消文件系统实时防护 > 基本下的自动启动文件系统实时防护来禁用实时防护要扫描的对象默认情况下所有类型的介质均可扫描以检查是否存在潜在威胁本地驱动器 - 控制所有系统硬盘可移动磁盘 - 控制 CD/DVD USB 存储和蓝牙设备等网络驱动器 - 扫描所有映射的驱动器建议您使用默认设置且仅在特殊情况例如当扫描某些介质使数据传输速度显著降低时下修改这些设置运行扫描于 132

133 默认情况下所有文件都在打开创建或执行时进行扫描我们建议您保留这些默认设置因为它们可为计算机提供最高级别的实时防护打开文件 - 启用或禁用打开文件时的扫描创建文件 - 启用或禁用创建文件时的扫描执行文件 - 启用或禁用运行文件时的扫描可移动磁盘访问 - 启用或禁用访问具有存储空间的特定可移动磁盘触发的扫描关闭计算机 - 启用或禁用在计算机关闭时触发的扫描文件系统实时防护检查所有类型的介质并由各种系统事件例如访问文件触发通过使用 ThreatSense 技术检测方法如 ThreatSense 参数部分所述将文件系统实时防护配置为采用不同的方式对待新创建的文件和现有文件例如您可以将文件系统实时防护配置为更加密切地监视新创建的文件为确保在使用实时防护时占用最少的系统资源已扫描的文件不会重复扫描除非它们已修改在每次病毒库更新后立刻重新扫描文件可使用智能优化控制此行为如果已禁用智能优化则每次访问时将扫描所有文件若要修改此设置请按 F5 打开高级设置然后依次展开计算机 > 文件系统实时防护依次单击 ThreatSense 参数 > 其他然后选中或取消选中启用智能优化 4251 排除使用排除可将文件和文件夹排除在扫描之外要确保对所有对象进行威胁扫描我们建议您只在绝对有必要时才创建排除您需要排除某个对象的情况可能包括在扫描期间会使计算机速度变慢的大型数据库条目扫描或遇到与扫描冲突的软件例如备份软件警告不要与排除的扩展名混淆从扫描中排除对象的步骤单击添加并输入指向对象的路径或在树结构中选择它可以使用通配符来覆盖一组文件问号 (?) 表示一个变量字符而星号 (*) 表示零个或多个字符的变量字符串示例如果要排除某个文件夹中的所有文件键入该文件夹的路径并使用掩码 ** 若要排除包括所有文件和子文件夹在内的整个驱动器使用掩码 D:\* 如果只想排除 doc 文件使用掩码 *doc 如果可执行文件的名称具有一定数量的字符且字符各不相同并且您只知道第一个字符例如 D 使用以下格式 D????exe 问号代替缺失未知字符示例 @NAME=Win32/BagleD 示例可以使用星号 * 来表示文件夹名称例如 C:\Users\*\Application Data\ 使用星号的其他几个排除示例 C:\Tools - 将自动转换为 C:\Tools\** C:\Tools\*dat - 将排除 Tools 文件夹中的 dat 文件 C:\Tools\sgdat - 将排除位于确切路径中的此特定文件 133

如果该文件满足不进行扫描的标准那么文件系统实时防护模块或计算机扫描模块就不会检测到该文件内的威胁列路径 - 被排除文件和文件夹的路径威胁 - 如果在已排除文件旁边显示威胁的名称则表示该文件仅对给定威胁排除如果该文件稍后被其他恶意软件感染将被病毒防护模块检测到

134 如果该文件满足不进行扫描的标准那么文件系统实时防护模块或计算机扫描模块就不会检测到该文件内的威胁列路径 - 被排除文件和文件夹的路径威胁 - 如果在已排除文件旁边显示威胁的名称则表示该文件仅对给定威胁排除如果该文件稍后被其他恶意软件感染将被病毒防护模块检测到此类型的排除仅可用于特定类型的渗透它既可以在报告渗透的威胁警报窗口中创建单击显示高级选项然后选择从检测中排除还可以通过依次选择工具 > 隔离然后右键单击隔离文件并从右键菜单中选择恢复并且不扫描来创建控件元素添加 - 选择不予检测的对象编辑 - 使您能够编辑选定的条目删除 - 删除选定的条目 134

42511 添加或编辑排除可以通过此对话窗口添加或编辑排除可以采用以下两种方法执行操作键入通往要排除对象的路径在树形结构中选择对象单击文本框末尾的以浏览如果使用第一种方法可以使用在排除格式部分中描述的通配符为此计算机排除为路径排除 - 排除此计算机的特定威胁或特定路径排除所有威胁威胁名称 - 排除应用于潜在的不受欢迎应用程序潜在的不安全应用程序和可疑应用程序

135 42511 添加或编辑排除可以通过此对话窗口添加或编辑排除可以采用以下两种方法执行操作键入通往要排除对象的路径在树形结构中选择对象单击文本框末尾的以浏览如果使用第一种方法可以使用在排除格式部分中描述的通配符为此计算机排除为路径排除 - 排除此计算机的特定威胁或特定路径排除所有威胁威胁名称 - 排除应用于潜在的不受欢迎应用程序潜在的不安全应用程序和可疑应用程序如果这两个设置都已启用将无法创建排除可以使用通配符来覆盖一组文件问号 (?) 表示一个变量字符而星号 (*) 表示零个或多个字符的变量字符串示例如果要排除某个文件夹中的所有文件键入该文件夹的路径并使用掩码 ** 若要排除包括所有文件和子文件夹在内的整个驱动器使用掩码 D:\* 如果只想排除 doc 文件使用掩码 *doc 如果可执行文件的名称具有一定数量的字符且字符各不相同并且您只知道第一个字符例如 D 使用以下格式 D????exe 问号代替缺失未知字符示例 @NAME=Win32/BagleD 示例可以使用星号 * 来表示文件夹名称例如 C:\Users\*\Application Data\ 使用星号的其他几个排除示例 C:\Tools - 将自动转换为 C:\Tools\** C:\Tools\*dat - 将排除 Tools 文件夹中的 dat 文件 C:\Tools\sgdat - 将排除位于确切路径中的此特定文件 135

136 42512 排除格式可以使用通配符来覆盖一组文件问号 (?) 表示一个变量字符而星号 (*) 表示零个或多个字符的变量字符串示例如果要排除某个文件夹中的所有文件键入该文件夹的路径并使用掩码 ** 若要排除包括所有文件和子文件夹在内的整个驱动器使用掩码 D:\* 如果只想排除 doc 文件使用掩码 *doc 如果可执行文件的名称具有一定数量的字符且字符各不相同并且您只知道第一个字符例如 D 使用以下格式 D????exe 问号代替缺失未知字符示例 @NAME=Win32/BagleD 示例可以使用星号 * 来表示文件夹名称例如 C:\Users\*\Application Data\ 使用星号的其他几个排除示例 C:\Tools - 将自动转换为 C:\Tools\** C:\Tools\*dat - 将排除 Tools 文件夹中的 dat 文件 C:\Tools\sgdat - 将排除位于确切路径中的此特定文件 4252 T hre a ts e ns e 参数 ThreatSense 技术包括许多复杂的威胁检测方法此技术具有某种主动性防护功能也就是说它可在新威胁开始传播的较早阶段提供防护该技术采用代码分析代码仿真一般的识别码病毒库的组合以显著提高系统安全性扫描引擎可同时控制多个数据流最大限度地提高效率和检测速度 ThreatSense 技术还可成功去除 Rootkit 有关自动启动文件检查的详细信息请参阅启动扫描 ThreatSense 引擎设置选项允许您指定若干扫描参数要扫描的文件类型和扩展名不同检测方法的组合清除级别等若要进入设置窗口请单击 ThreatSense 引擎参数设置它位于使用 ThreatSense 技术的任何模块的高级设置窗口中请参阅下文不同的安全情形可能要求不同的配置考虑到这一点可针对下列防护模块对 ThreatSense 进行单独配置 136 邮件传输防护手动数据库保护邮箱数据库防护 Hyper-V 扫描文件系统实时防护空闲状态下扫描开机扫描文档防护电子邮件客户端防护

137 Web 访问保护 ThreatSense 参数已针对每个模块进行了高度优化对其进行修改可能会明显影响系统操作例如将参数更改为始终扫描加壳程序或在实时文件系统防护模块中启用高级启发式扫描可能会造成系统性能下降通常只有在扫描新建文件时才使用这些方法我们建议您保留所有模块计算机扫描除外的默认 ThreatSense 参数要扫描的对象此部分使您可以定义要扫描的计算机组件和文件以查找渗透系统内存 - 扫描攻击系统的系统内存的威胁引导区 - 扫描引导区以检查 MBR 主引导记录中是否存在病毒如果运行的是 Hyper-V 虚拟机将以只读模式扫描其磁盘 MBR 电子邮件文件 - 该程序支持以下扩展名 DBX (Outlook Express) 和 EML 压缩文件 - 该程序支持以下扩展名 ARJ BZ2 CAB CHM DBX GZIP ISO/BIN/NRG LHA MIME NSIS RAR SIS TAR TNEF UUE WISE ZIP ACE 以及很多其他扩展名自解压文件 - 自解压文件 (SFX) 是指不需要专门程序对自身进行解压的压缩文件加壳程序 - 执行后加壳程序在内存中解压这一点与标准压缩文件类型不同除了标准静态加壳程序 UPX yoda ASPack FSG 等扫描程序能够通过使用代码仿真来识别多种其他类型的加壳程序对于邮箱数据库防护将扫描作为附件的电子邮件文件例如 eml files 无需考虑要扫描的对象下的设置这是因为 Exchange Server 先解析附加的 eml 文件然后再提交该文件以供 ESET Mail Security 扫描 VSAPI 插件从 eml 附件提取文件而不是接收原始的 eml 文件扫描选项选择在扫描系统中的渗透时所用的方法有以下选项可供使用启发式扫描 - 启发式扫描是一种分析恶意程序行为的算法此技术的主要优点是能够识别过去不存在或以前的病毒库无法识别的恶意软件高级启发式扫描 DNA 病毒库 - 高级启发式扫描具有一种独特的启发式扫描算法该算法由 ESET 开发它使用高级编程语言编写而成用于优化检测计算机蠕虫和木马使用高级启发式扫描显著提高了 ESET 产品的威胁检测功能病毒库可以可靠地检测和识别病毒利用自动更新系统可以在发现威胁后的数小时内提供新病毒库该病毒库的缺点是只能检测到它所知道的病毒或在这些病毒基础上略做修改的版本清除清除设置决定在清除被感染文件的过程中扫描程序的行为共有 3 个清除级别不清除 - 不会自动清除被感染文件程序会显示一个警告窗口允许用户选择操作此级别专用于更高级的用户他们了解在渗透事件中应采取哪些步骤正常清除 - 程序将根据预定义操作取决于渗透类型尝试自动清除或删除被感染文件屏幕右下角的通知指示检测到或删除了被感染文件如果无法自动选择正确操作程序将提供其他后续操作如果预定义的操作无法完成也会出现相同的情况严格清除 - 程序将清除或删除所有被感染文件唯一例外的是系统文件如果无法清除文件系统将询问用户执行哪种操作警告如果压缩文件包含一个或多个被感染的文件有两种选择方式来处理该压缩文件在默认模式即正常清除中如果压缩文件包含的文件全部被感染会删除整个压缩文件在严格清除模式中即使压缩文件只包含一个被感染文件无论被压缩的其他文件是什么状态都将删除该压缩文件重要信息如果 Hyper-V 主机运行在 Windows Server 2008 R2 上正常清除和严格清除将不受支持将以只读模式扫描 137

138 虚拟机磁盘不会执行清除操作不论选择何种清除级别将始终以只读模式执行扫描排除扩展名是用句点分隔的文件名的一部分扩展名定义文件的类型和内容 ThreatSense 参数设置的此部分允许您定义不扫描的文件类型其他配置 ThreatSense 引擎参数设置以进行手动计算机扫描时其他部分中的以下选项也可用扫描交换数据流 (ADS) - NTFS 文件系统使用的交换数据流是对普通扫描技术不可见的文件和文件夹关联许多渗透试图通过伪装成交换数据流来避开检测以低优先级运行后台扫描 - 每个扫描序列都消耗一定量的系统资源如果您使用高系统资源负载的程序则可以激活低优先级后台扫描并为应用程序节约资源记录所有对象 - 如果选中此选项日志文件将显示包括未感染文件在内的所有已扫描文件例如如果压缩文件中发现渗透日志还将列出压缩文件中包含的干净文件启用智能优化 - 启用智能优化后使用最优化的设置可确保最高效的扫描级别同时可保持最高的扫描速度各种保护模块可进行智能化扫描使用不同的扫描方法并将它们应用到特定的文件类型如果禁用了智能优化则在执行扫描时仅应用特定模块的 ThreatSense 核心中用户定义的设置保存上一个访问时戳 - 选中此选项可以保留已扫描文件的最初访问时间而不是更新时间例如数据备份系统所使用的访问时戳限制限制部分允许您指定要扫描的对象的最大大小和嵌套压缩文件的层数对象设置默认对象设置 - 允许使用默认设置无限制 ESET Mail Security 将忽略您的自定义设置最大对象大小 - 定义要扫描对象的最大大小给定的病毒防护模块将仅扫描小于指定大小的对象此选项应仅由具有从扫描中排除大型对象的特定原因的高级用户更改默认值无限制对象的最长扫描时间(秒) - 定义用于对象扫描的最大时间值如果在此输入用户定义的值时间用完后病毒防护模块将停止扫描对象而不管扫描是否完成默认值无限制压缩文件扫描设置压缩文件嵌套层数 - 指定压缩文件扫描的最大深度默认值 10 对于邮件传输防护检测到对象实际的嵌套层数为 1 因为电子邮件中的压缩文件附件被视为第一层例如如果您将嵌套层数设置为 3 则嵌套层数为 3 的压缩文件将在传输层上只扫描到其实际层数 2 因此如果您想要邮件传输防护扫描压缩文件到层数 3 请将压缩文件嵌套层数设置为 4 压缩文件中文件的最大大小 - 此选项允许您指定要扫描的压缩文件当解压缩时中所包含文件的最大文件大小默认值无限制不建议更改默认值正常情况下应该没有修改它的理由 138

139 42521 不扫描的文件扩展名扩展名是文件名的一部分由句点分隔扩展名定义文件类型通常扫描所有文件但如果需要将带有特定扩展名的文件排除在外 ThreatSense 参数设置让您可以基于文件的扩展名跳过扫描这些文件如果扫描某些文件类型会阻止应用程序正常运行则排除可能很有用示例若要将一个新扩展名添加到列表中请单击添加在文本框中键入扩展名例如 tmp 然后单击确定如果选择输入多个值可以添加由行逗号或分号分隔的多个文件扩展名例如从下拉菜单中选择分号作为分隔符然后键入 edb;eml;tmp 可以使用特殊符号? 问号问号表示任何符号例如?db 若要显示 Windows 操作系统中所有文件的扩展名文件类型请取消选中控制面板 > 文件夹选项 > 查看下的隐藏已知文件类型的扩展名其他 T hre a ts e ns e 参数用于新建文件和已修改文件的其他 ThreatSense 参数 - 新建或修改的文件受感染的可能性相对于现有文件更高这就是程序使用附加扫描参数检查这些文件的原因除了使用普通的基于病毒库的扫描方法外还使用高级启发式扫描它可在发布病毒库更新之前检测新威胁除了新建文件系统还扫描自解压文件 (sfx) 和加壳程序内部压缩的可执行文件默认情况下对压缩文件的扫描可深达第 10 个嵌套层而且不论其实际大小都会进行检查若要修改压缩文件扫描设置请禁用默认的压缩文件扫描设置若要了解有关加壳程序自解压文件以及高级启发式扫描的详细信息请参阅 ThreatSense 引擎参数设置用于已执行文件的其他 ThreatSense 参数 - 默认情况下在执行文件时将使用高级启发式扫描启用后强烈建议您启用智能优化和 ESET LiveGrid 以降低对系统性能的影响清除级别实时防护具有三种清除级别要访问清除级别设置请单击文件系统实时防护部分中的 ThreatSense 参数从下拉列表中选择所需清除级别不清除 - 不会自动清除被感染文件程序会显示一个警告窗口允许用户选择操作此级别专用于更高级的用户他们了解在渗透事件中应采取哪些步骤正常清除 - 程序将根据预定义操作取决于渗透类型尝试自动清除或删除被感染文件屏幕右下角的通知指示检测到或删除了被感染文件如果无法自动选择正确操作程序将提供其他后续操作如果预定义的操作无法完成也会出现相同的情况严格清除 - 程序将清除或删除所有被感染文件唯一例外的是系统文件如果无法清除文件系统将询问用户执行哪种操作警告如果压缩文件包含一个或多个被感染的文件有两种选择方式来处理该压缩文件在默认模式即正常清除中如果压缩文件包含的文件全部被感染会删除整个压缩文件在严格清除模式中即使压缩文件只包含一个被感染文件无论被压缩的其他文件是什么状态都将删除该压缩文件重要信息如果 Hyper-V 主机运行在 Windows Server 2008 R2 上正常清除和严格清除将不受支持将以只读模式扫描虚拟机磁盘不会执行清除操作不论选择何种清除级别将始终以只读模式执行扫描 139

140 42524 何时修改实时防护配置文件系统实时防护是维护系统安全的最重要的组件修改其参数时请务必小心建议您仅在特定情况下修改其参数安装 ESET Mail Security 后所有设置都会得到优化以便为用户提供最高级别的系统安全性若要恢复默认设置请在窗口中单击每个选项卡旁边的高级设置 > 计算机 > 文件系统实时防护检查实时防护要验证实时防护是否在运行以及是否在检测病毒请使用来自 eicarcom 的测试文件此测试文件是一个可供所有病毒防护程序检测的无害文件此文件由 EICAR 欧洲计算机防病毒研究协会公司创建用于测试病毒防护程序的功能此文件可从以下网站下载实时防护不工作时如何应对在本章中我们将介绍使用实时防护时可能出现的问题以及如何排除这些故障实时防护被禁用如果用户无意中禁用了实时防护则需要重新启用它要重新启用实时防护请导航至主程序窗口中的设置并单击文件系统实时防护如果实时防护未能在系统启动时启动通常是因为未选中自动启动文件系统实时防护若要启用此选项请导航至高级设置 (F5) 然后在高级设置部分中依次单击计算机 > 文件系统实时防护 > 基本请确保自动启动文件系统实时防护已打开如果实时防护功能不检测和清除渗透请确保您的计算机上没有安装其他病毒防护程序如果同时启用两种实时防护它们可能互相冲突建议您先卸载系统上的所有其他病毒防护程序再安装 ESET 实时防护不启动如果系统启动时实时防护未启动且自动启动实时文件系统防护已经启用可能是因为与其他程序发生冲突要获取帮助以解决此问题请联系 ESET 客户服务提交您可以选择文件和统计信息提交到 ESET 的方式选择通过远程管理员或直接提交给 ESET 将使用所有可用方式提交文件和统计信息选择通过远程管理员选项以将文件和统计信息提交至远程管理服务器然后将其提交至 ESET 威胁实验室如果选中直接提交给 ESET 所有可疑文件和统计信息会直接从程序发送给 ESET 病毒实验室当有文件等待提交时立即提交按钮将处于活动状态单击此按钮可立即提交文件和统计信息选中启用日志记录创建用于记录文件和统计信息提交的日志统计信息 ThreatSenseNet 早期预警系统将收集您的计算机中与新检测到的威胁相关的匿名信息该信息可能包括渗透名称检测的日期和时间 ESET 安全产品版本操作系统版本和位置设置等统计信息通常一天一次或两次发送给 ESET 服务器下面是提交的统计数据包示例 # # # # # # # # 140 utc_time= :21:28 country= Slovakia language= ENGLISH osver= NT engine=5417 components=2502 moduleid=0x4e4f4d41 filesize=28368

141 # filename=c:\documents and Settings\Administrator\Local Settings\Temporary Internet Files\ContentIE5\C14J8 提交时间 - 可以定义统计信息的提交时间如果选择尽快提交统计信息会在创建后立即发送该设置适用于 Internet 连接永久可用的情况如果选择了更新期间统计信息将在下次更新期间集中提交可疑文件可疑文件选项卡可用于配置将威胁提交到 ESET 威胁实验室以供分析的方式如果发现可疑文件可以将其提交到我们的威胁实验室进行分析如果文件是一个恶意应用程序则下次病毒库更新中将添加对此程序的检测文件提交可以设置为自动发生或者如果希望知道已发送哪些文件供分析则选择提交前询问并确认提交如果不想提交任何文件请选择不提交文件进行分析选择不提交文件进行分析不会影响统计信息的提交后者在其自己的设置中配置请参见统计信息部分提交时间 - 默认情况下选择尽快以将可疑文件发送到 ESET 威胁实验室建议使用永久 Internet 连接这样可疑文件可及时发送不致延误选择更新期间选项以便将可疑文件在下次更新期间上载到 ThreatSenseNet 排除过滤器 - 排除过滤器允许您不提交某些文件文件夹例如将可能包含机密信息的文件如文档或电子表格排除在外可能很有用默认情况下最常见的文件类型均被排除 doc 等如果需要可以添加排除文件列表联系人电子邮件 - 联系人电子邮件[可选]可以与任何可疑文件一起发送而且可能用于在需要更多信息以供分析时联系您请除非需要更多信息否则 ESET 不会与您联系 141

142 426 手动计算机扫描和 H y p e r-v 扫描本部分提供用于选择扫描参数的选项选定的配置文件手动扫描程序使用的一组特定参数若要创建新配置文件请单击配置文件列表旁边的编辑此扫描配置文件选择器可应用于手动计算机扫描和 Hyper-V 扫描如果仅希望扫描特定目标可以单击扫描目标旁边的编辑然后从下拉菜单中选择某个选项或从文件夹树结构中选择特定目标扫描目标窗口允许您定义扫描哪些对象内存驱动器扇区文件和文件夹中的渗透从列有计算机上所有可用设备的树结构中选择目标扫描目标下拉菜单可使您选择预定义的扫描目标按配置文件设置 - 选择选定扫描配置文件中设置的目标可移动磁盘 - 选择磁盘 USB 存储设备和 CD/DVD 本地驱动器 - 选择所有系统硬盘网络驱动器 - 选择所有映射的网络驱动器共享文件夹 - 选择本地服务器上共享的所有文件夹不选择 - 清除所有选择 Hyper -V 下拉菜单的扫描目标允许您选择预定义的扫描目标按配置文件设置 - 选择选定扫描配置文件中设置的目标所有虚拟机 - 选择所有虚拟机已启动的虚拟机 - 选择所有联机 VM 已关闭的虚拟机 - 选择所有脱机 VM 不选择 - 清除所有选择单击 ThreatSense 参数以修改手动计算机扫描程序的扫描参数例如检测方法 142

4261 自定义扫描和 H y p e r-v 扫描启动程序如果您仅希望扫描特定目标可以使用自定义扫描然后从扫描目标下拉菜单中选择某个选项或从文件夹树结构中选择特定目标此扫描目标选择器可应用于自定义扫描和 Hyper-V 扫描扫描目标窗口允许您定义扫描哪些对象内存驱动器扇区文件和文件夹中的渗透从列有计算机上所有可用设备的树结构中选择目标

143 4261 自定义扫描和 H y p e r-v 扫描启动程序如果您仅希望扫描特定目标可以使用自定义扫描然后从扫描目标下拉菜单中选择某个选项或从文件夹树结构中选择特定目标此扫描目标选择器可应用于自定义扫描和 Hyper-V 扫描扫描目标窗口允许您定义扫描哪些对象内存驱动器扇区文件和文件夹中的渗透从列有计算机上所有可用设备的树结构中选择目标扫描目标下拉菜单可使您选择预定义的扫描目标按配置文件设置 - 选择选定扫描配置文件中设置的目标可移动磁盘 - 选择磁盘 USB 存储设备和 CD/DVD 本地驱动器 - 选择所有系统硬盘网络驱动器 - 选择所有映射的网络驱动器共享文件夹 - 选择本地服务器上共享的所有文件夹不选择 - 清除所有选择 Hyper -V 下拉菜单的扫描目标允许您选择预定义的扫描目标按配置文件设置 - 选择选定扫描配置文件中设置的目标所有虚拟机 - 选择所有虚拟机已启动的虚拟机 - 选择所有联机 VM 已关闭的虚拟机 - 选择所有脱机 VM 不选择 - 清除所有选择要迅速浏览至某个扫描目标或添加新的目标文件或文件夹请在文件夹列表下的空白字段中输入目标对象仅当树结构中未选择任何目标并且扫描目标菜单设置为未选择时才可执行此操作自定义扫描弹出窗口如果您仅想扫描系统而不进行附加的清除操作则选择扫描但不清除仅当想要获取是否存在受感染项的概要信息以及获取有关这些受感染项的详细信息如果有时非常有用可以通过依次单击设置 > ThreatSense 参数 > 清除从三个清除级别中进行选择扫描信息保存至扫描日志选择忽略排除后您能够执行一个扫描同时忽略已应用的排除 143

Hyper-V 扫描弹出窗口有关详细信息请参阅 Hyper-V 扫描可以从扫描配置文件下拉菜单中选择要用于扫描选定目标的配置文件默认的配置文件为智能扫描另外还有两个预定义的扫描配置文件称为全面扫描和右键菜单扫描这些扫描配置文件使用不同的 ThreatSense 引擎参数单击设置从扫描配置文件菜单中详细配置扫描配置文件

144 Hyper-V 扫描弹出窗口有关详细信息请参阅 Hyper-V 扫描可以从扫描配置文件下拉菜单中选择要用于扫描选定目标的配置文件默认的配置文件为智能扫描另外还有两个预定义的扫描配置文件称为全面扫描和右键菜单扫描这些扫描配置文件使用不同的 ThreatSense 引擎参数单击设置从扫描配置文件菜单中详细配置扫描配置文件 ThreatSense 引擎参数设置中对可用选项做了说明单击保存 - 保存对目标选择所做的更改包括在文件夹树结构中所做的选择单击扫描以使用已设置的自定义参数执行扫描作为管理员扫描使您能够使用管理员帐户执行扫描如果当前用户无权访问要扫描的适当文件则单击此选项请如果当前用户无法以管理员身份调用 UAC 操作则此按钮不可用 144

4262 扫描进度扫描进度窗口显示扫描的当前状态以及有关已找到的包含恶意代码的文件数量的信息某些文件比如受密码保护的文件或仅由系统使用的文件通常为 pagefilesys 和某些日志文件无法扫描很正常扫描进度 - 进度条显示已扫描对象相对于待扫描对象的状态

145 4262 扫描进度扫描进度窗口显示扫描的当前状态以及有关已找到的包含恶意代码的文件数量的信息某些文件比如受密码保护的文件或仅由系统使用的文件通常为 pagefilesys 和某些日志文件无法扫描很正常扫描进度 - 进度条显示已扫描对象相对于待扫描对象的状态扫描进度状态根据扫描对象总数得出目标 - 当前扫描的对象及其位置的名称已找到的威胁 - 显示在扫描过程中已找到的威胁总数暂停 - 暂停扫描继续 - 当扫描进度暂停时显示此选项单击继续可继续扫描停止 - 终止扫描滚动扫描日志 - 如果启用扫描日志将随着新条目的添加自动向下滚动以便显示出最新的条目 145

在扫描过程中可以单击更多信息查看详细信息例如执行扫描的用户已扫描的对象数和扫描持续时间如果手动数据库扫描正在运行它将显示执行扫描的用户而不是扫描期间用于连接到 EWS (Exchange Web Services) 的实际数据库扫描帐户 4263 配置文件管理器配置文件管理器用在 ESET Mail Security 中的两个地方在手动计算机扫描部分和更新部分中

146 在扫描过程中可以单击更多信息查看详细信息例如执行扫描的用户已扫描的对象数和扫描持续时间如果手动数据库扫描正在运行它将显示执行扫描的用户而不是扫描期间用于连接到 EWS (Exchange Web Services) 的实际数据库扫描帐户 4263 配置文件管理器配置文件管理器用在 ESET Mail Security 中的两个地方在手动计算机扫描部分和更新部分中手动计算机扫描可以保存您的首选扫描参数以用于将来的扫描建议您为每次定期扫描创建不同的配置文件带有各种扫描目标扫描方法和其他参数若要创建新配置文件请打开高级设置窗口 (F5) 然后依次单击计算机 > 手动计算机扫描再单击配置文件列表旁边的编辑列出现有扫描配置文件的选定的配置文件下拉列表为了帮助您创建满足需求的扫描配置文件请参阅 ThreatSense 引擎参数设置部分查看扫描设置中每个参数的描述示例假设您想要创建自己的扫描配置文件而且智能扫描配置部分适用但您不希望扫描加壳程序或潜在的不安全应用程序并且还希望应用严格清除在配置文件管理器窗口中输入新配置文件的名称并单击添加从选定的配置文件下拉菜单选择新的配置文件并调整剩余参数以满足要求单击确定以保存新配置文件更新更新设置部分中的配置文件编辑器允许用户创建新的更新配置文件仅在计算机使用多种方式连接更新服务器时才有必要创建自定义更新配置文件例如一台笔记本电脑通常连接的是本地网络中的本地服务器镜像但在断开与本地网络的连接时比如出于商务旅行的需要可能会使用两个配置文件直接从 ESET 的更新服务器下载更新第一个配置文件用于连接到本地服务器另一个配置文件用于连接到 ESET 服务器配置完这些配置文件后浏览到工具 > 计划任务编辑更新任务参数将其中一个配置文件指定为主配置文件另一个为次配置文件选定的配置文件 - 当前使用的更新配置文件要更改它请从下拉菜单中选择一个配置文件 146

147 配置文件列表 - 新建或编辑更新配置文件 4264 扫描目标扫描目标窗口允许您定义扫描哪些对象内存驱动器扇区文件和文件夹中的渗透从列有计算机上所有可用设备的树结构中选择目标扫描目标下拉菜单可使您选择预定义的扫描目标按配置文件设置 - 选择选定扫描配置文件中设置的目标可移动磁盘 - 选择磁盘 USB 存储设备和 CD/DVD 本地驱动器 - 选择所有系统硬盘网络驱动器 - 选择所有映射的网络驱动器共享文件夹 - 选择本地服务器上共享的所有文件夹不选择 - 清除所有选择 Hyper -V 下拉菜单的扫描目标允许您选择预定义的扫描目标按配置文件设置 - 选择选定扫描配置文件中设置的目标所有虚拟机 - 选择所有虚拟机已启动的虚拟机 - 选择所有联机 VM 已关闭的虚拟机 - 选择所有脱机 VM 不选择 - 清除所有选择 4265 暂停计划扫描可以推迟计划扫描如果要推迟计算机扫描请为停止计划扫描(分钟)选项设置值 427 空闲状态下扫描可以在高级设置中启用空闲状态扫描程序或按 F5 然后导航到病毒防护 > 空闲状态扫描 > 基本将启用空闲状态扫描旁边的开关设置为启用此功能当计算机处于空闲状态时会在所有本地驱动器上执行静默的计算机扫描默认情况下当计算机笔记本电脑使用电池运行时不会运行空闲状态扫描程序您可以通过选中计算机使用蓄电池供电时仍然运行扫描旁边的复选框来覆盖此设置在高级设置中打开启用日志记录开关或按 F5 以将计算机扫描输出记录在日志文件部分在主程序窗口中单击日志文件然后从下拉菜单中选择日志类型计算机扫描当您的计算机处于以下状态时将运行空闲状态检测关闭屏幕或屏幕保护程序计算机锁定用户注销单击 ThreatSense 参数以修改空闲状态扫描程序的扫描参数例如检测方法 428 开机扫描在默认情况下自动启动文件检查将在系统启动和病毒库更新时执行此扫描由计划任务配置和任务控制启动扫描选项是系统启动文件检查计划任务的一部分要修改启动扫描设置导航至工具>计划任务单击自动启动文件检查然后单击编辑在最后一步中自动启动文件检查窗口将显示参见下一章了解更多详细信息有关计划任务创建和管理的详细说明请参见创建新任务 147

148 4281 自动启动文件检查在创建系统启动文件检查计划任务时您可以使用几个选项来调整以下参数扫描目标下拉菜单指定系统启动时运行的文件扫描深度文件按照以下标准以升序排列仅最常用文件扫描文件最少常用文件共用文件很少使用的文件所有注册文件扫描文件最多还包括两个特定扫描目标组用户登录前运行的文件 - 包含未经用户登录即可访问的位置的文件包括几乎所有启动位置如服务浏览器帮助对象 winlogon 通知 Windows 计划任务条目已知 dll 等用户登录后运行的文件 - 包含仅在用户登录后才可访问的位置的文件包括仅由特定用户运行的文件通常是 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中的文件上述每个组的要扫描文件列表是固定的扫描优先级 - 用于确定何时开始扫描的优先级别正常 - 平均系统负载较低 - 低系统负载最低 - 系统负载最低空闲时 - 仅在系统空闲时执行任务 429 可移动磁盘 ESET Mail Security 提供自动可移动磁盘 (CD/DVD/USB) 扫描此模块允许您扫描插入的媒体如果计算机管理员希望防止用户使用带有不请自来内容的可移动磁盘此模块将很有用插入可移动磁盘后要采取的操作 - 选择将可移动磁盘插入到计算机 (CD/DVD/USB) 时将执行的默认操作如果选择了显示扫描选项将显示通知允许您选择所需操作不扫描 - 将不执行任何操作同时将关闭检测到新设备窗口自动设备扫描 - 将执行已插入可移动磁盘设备的手动计算机扫描显示扫描选项 - 打开可移动磁盘设置部分插入可移动磁盘后将显示以下对话框立即扫描 - 这将触发对可移动磁盘的扫描稍后扫描 - 将推迟对可移动磁盘的扫描设置 - 打开高级设置始终使用选择的选项 - 选中后在其他时间插入可移动磁盘时将执行相同的操作此外 ESET Mail Security 具有设备控制功能允许您为给定计算机上的外部设备使用定义规则在设备控制部分可找到设备控制的更多详细信息 4210 文档防护文档防护功能会在打开 Microsoft Office 文档之前对其进行扫描还会扫描通过 Internet Explorer 自动下载的文件如 Microsoft ActiveX 元素文档防护提供文件系统实时防护之外的另一层防护可以将其禁用以加强没有运行大容量 Microsoft Office 文档时的系统性能集成到系统将启动防护系统若要修改此选项请按 F5 打开高级设置窗口然后在高级设置树中依次单击计算机 > 文档防护请参阅 Threatsense 参数以获取有关文档防护设置的详细信息此功能由使用 Microsoft Antivirus API 的应用程序例如 Microsoft Office 2000 和更高版本或 Microsoft Internet 148

Explorer 50 和更高版本激活 4211 H IP S 基于主机的入侵防御系统 (HIPS) 可保护您的系统以免恶意软件和任何不受欢迎的活动试图对您的计算机产生不利影响 HIPS 利用高级行为分析并配合网络过滤的检测功能来监视正在运行的进程文件和注册表项 HIPS 独立于文件系统实时防护并且不是防火墙它仅监视在操作系统中运行的进程警告对 HIPS

149 Explorer 50 和更高版本激活 4211 H IP S 基于主机的入侵防御系统 (HIPS) 可保护您的系统以免恶意软件和任何不受欢迎的活动试图对您的计算机产生不利影响 HIPS 利用高级行为分析并配合网络过滤的检测功能来监视正在运行的进程文件和注册表项 HIPS 独立于文件系统实时防护并且不是防火墙它仅监视在操作系统中运行的进程警告对 HIPS 设置的更改仅应由有经验的用户进行 HIPS 设置的错误配置可能会导致系统不稳定可以在以下位置找到 HIPS 设置高级设置树 (F5) > 计算机 > HIPS HIPS 状态启用禁用显示在 ESET Mail Security 主程序窗口的设置选项卡中位于计算机部分的右侧 ESET Mail Security 具有内置的自我保护技术可防止恶意软件损坏或禁用病毒和间谍软件防护这样您可以确保系统随时受到保护对启用 HIPS 和启用 SD (自我保护)设置的更改在 Windows 操作系统重新启动后生效禁用整个 HIPS 系统也将需要计算机重新启动高级内存扫描程序与漏洞利用阻止程序结合使用以增强对恶意软件的防范恶意软件旨在通过迷惑或加密方法来逃过反恶意软件产品的检测默认情况下启用高级内存扫描程序请阅读词汇表中关于此类防护的更多信息漏洞利用阻止程序旨在强化那些经常被漏洞利用的应用程序类型例如 Web 浏览器 PDF 阅读器电子邮件客户端和 MS Office 组件默认情况下启用漏洞利用阻止程序请阅读词汇表中关于此类防护的更多信息可以使用以下四种模式之一执行过滤自动模式 - 启用操作除了保护系统的预定义规则所阻止的操作智能模式 - 仅通知用户极为可疑的事件交互模式 - 将提示用户确认操作基于策略的模式 - 操作被阻止学习模式 - 启用操作并在每次操作后创建规则可在规则编辑器中查看以此模式创建的规则但其优先级 149

低于手动创建的规则或在自动模式下创建的规则的优先级当您从 HIPS 过滤模式下拉菜单中选择学习模式后学习模式结束时间设置将变为可用选择您想要执行的学习模式的持续时间最长为 14 天当指定的持续时间过去后将会提示您编辑 HIPS 在学习模式下所创建的规则还可以选择其他过滤模式或推迟决定并继续使用学习模式 HIPS 系统监控操作系统内的事件

150 低于手动创建的规则或在自动模式下创建的规则的优先级当您从 HIPS 过滤模式下拉菜单中选择学习模式后学习模式结束时间设置将变为可用选择您想要执行的学习模式的持续时间最长为 14 天当指定的持续时间过去后将会提示您编辑 HIPS 在学习模式下所创建的规则还可以选择其他过滤模式或推迟决定并继续使用学习模式 HIPS 系统监控操作系统内的事件并根据类似于个人防火墙使用的规则相应地对事件作出反应单击编辑以打开 HIPS 规则管理窗口在此您可以选择创建编辑或删除规则编辑规则一章可以找到关于规则创建和 HIPS 操作的更多详细信息如果规则的默认操作设置为询问每次触发该规则时将显示对话窗口您可以选择阻止或允许该操作如果在给定时间不选择操作将基于规则选择新操作此对话窗口使您能够基于 HIPS 检测到的任何新操作来创建规则然后定义允许或阻止此操作的条件单击详细信息可访问具体参数的设置用这种方式创建的规则相当于手动创建的规则所以从对话窗口创建的规则可以比触发该对话窗口的规则更笼统这意味着在创建这样的规则后相同的操作可以触发相同的窗口暂时对此进程记住此操作将使系统在规则或过滤模式发生更改 HIPS 模块更新或系统重启之前始终使用此操作允许阻止发生这三项操作中的任意一项后将删除临时规则 H IP S 规则此窗口向您提供了现有 HIPS 规则的概览列规则 - 用户定义的或自动选择的规则名称已启用 - 如果要将规则保留在列表中但不想使用可停用此开关操作 - 该规则指定条件正确的情况下应执行的一项操作允许阻止或询问源 - 仅当事件被应用程序触发时才使用该规则目标 - 仅当操作与特定文件应用程序或注册表项相关时才使用该规则日志 - 如果启用此选项有关此规则的信息将写入到 HIPS 日志中通知 - 如果事件被触发在右下角将显示一个小的弹出窗口 150

151 控件元素添加 - 创建一个新规则编辑 - 使您能够编辑选定的条目删除 - 删除选定的条目示例在下面的示例中我们将演示如何限制不需要的应用程序行为 1 命名规则并从操作下拉菜单中选择阻止 2 打开通知用户开关以在每次应用规则时显示通知 3 至少选择一个将为其应用规则的操作在源应用程序窗口中从下拉菜单中选择所有应用程序以将新规则应用于尝试在指定应用程序上执行任何选定应用程序操作的所有应用程序 4 选择修改其他应用程序的状态所有操作在产品帮助中都有介绍可按 F1 键进行访问 5 从下拉菜单中选择特定应用程序然后添加一个或几个要保护的应用程序 6 单击完成保存新规则 H IP S 规则设置规则名称 - 用户定义的或自动选择的规则名称操作 - 该规则指定条件正确的情况下应执行的一项操作允许阻止或询问操作影响 - 您必须选择将要应用该规则的操作的类型该规则将仅用于此类型的操作和选定的目标文件 - 仅当操作与此目标相关时才使用该规则从下拉菜单中选择文件然后单击添加以添加新的文件或文件夹还可以从下拉菜单中选择所有文件以添加所有应用程序应用程序 - 仅当事件被此应用程序触发时才使用该规则从下拉菜单中选择特定应用程序然后单击添加以添加新文件或文件夹或者可以从下拉菜单中选择所有应用程序以添加所有应用程序注册表条目 - 仅当操作与此目标相关时才使用该规则从下拉菜单中选择特定条目然后单击添加以添加新文件或文件夹或者可以从下拉菜单中选择所有条目以添加所有应用程序已启用 - 如果要将规则保留在列表中但不想使用可停用此开关日志 - 如果启用此选项有关此规则的信息将写入到 HIPS 日志中通知用户 - 如果事件被触发在右下角将显示一个小的弹出窗口 151

152 该规则包含以下部分它们描述了触发此规则的条件源应用程序 - 仅当此应用程序触发事件时才会使用该规则从下拉菜单中选择特定应用程序然后单击添加以添加新文件或文件夹或者可以从下拉菜单中选择所有应用程序以添加所有应用程序文件 - 仅当操作与此目标相关时才使用该规则从下拉菜单中选择特定文件然后单击添加以添加新的文件或文件夹还可以从下拉菜单中选择所有文件以添加所有应用程序应用程序 - 仅当操作与此目标相关时才使用该规则从下拉菜单中选择特定应用程序然后单击添加以添加新的文件或文件夹还可以从下拉菜单中选择所有应用程序以添加所有应用程序注册表条目 - 仅当操作与此目标相关时才使用该规则从下拉菜单中选择特定条目然后单击添加以添加新的文件或文件夹还可以从下拉菜单中选择所有条目以添加所有应用程序无法阻止 HIPS 预定义特定规则的一些操作默认为允许这些操作此外 HIPS 并不监视所有系统操作 HIPS 监视视为不安全的操作重要操作的说明文件操作删除文件 - 应用程序要求获得删除目标文件的权限写入到文件 - 应用程序要求写入目标文件的权限直接访问磁盘 - 应用程序尝试以绕过常见 Windows 过程的非标准方式读取或写入磁盘这可能导致修改文件而不应用相应规则尝试回避检测的恶意软件尝试精确复制磁盘的备份软件或者尝试重新组织磁盘卷的分区管理器都可能导致此操作安装全局挂钩 - 指从 MSDN 库调用 SetWindowsHookEx 功能加载驱动程序 - 在系统上安装和加载驱动程序应用程序操作调试其他应用程序 - 将调试程序附加到进程调试应用程序时可以查看和修改其行为的许多详细信息并访问其数据拦截其他应用程序的事件 - 源应用程序尝试捕获针对特定应用程序的事件例如尝试捕获浏览器事件的按键记录程序终止暂停其他应用程序 - 暂停恢复或中止进程可以直接从进程浏览器或进程窗口访问启动新应用程序 - 启动新应用程序或进程修改其他应用程序的状态 - 源应用程序尝试写入目标应用程序内容或运行自己的代码在阻止此操作使用的规则中将其配置为目标应用程序从而保护重要应用程序时此功能可能很有用注册表操作修改启动设置 - 定义应用程序在 Windows 启动时如何运行的设置的任何更改例如可通过在 Windows 注册表中搜索 Run 键来找到这些信息从注册表删除 - 删除注册表项或其值重命名注册表项 - 重命名注册表项修改注册表 - 创建注册表项的新值更改现有值在数据库树中移动数据或设置用户或组对注册表项的权限在输入目标时可以使用带有某些限制的通配符注册表路径中可以使用星号符号代替特定项例如 HKEY_USERS\*\software 可以表示 HKEY_USER\default\software 但不可以表示 HKEY_USERS\S \default\software HKEY_LOCAL_MACHINE\system\ControlSet* 不是有效的注册表项路径包含 \* 的注册表项路径定义此路径或在该符号后的任意级别的任意路径这是为文件目标使用通配符的唯一方式首先将评估路径的特定部分然后是通配符符号 (*) 后的路径警告如果您创建过于通用的规则可能会收到通知 152

153 42112 高级设置以下选项用于调试和分析应用程序的行为始终允许加载驱动程序 - 除非用户规则明确阻止否则始终允许加载选定的驱动程序无论过滤模式是否已配置都是如此记录所有阻止的操作 - 所有阻止的操作将写入到 HIPS 日志中当启动应用程序发生更改时发送通知 - 每次应用程序添加到系统启动或从中删除时显示桌面通知始终允许加载驱动程序始终允许加载此列表中显示的驱动程序而不管 HIPS 过滤模式是什么除非明确地通过用户规则阻止添加 - 添加新的驱动程序编辑 - 编辑选定驱动程序的路径删除 - 从列表中删除驱动程序重置 - 重新加载一组系统驱动程序如果您不希望包含已手动添加的驱动程序请单击重置如果您已添加多个驱动程序并且无法手动将它们从列表中删除这将会很有用 43 更新在更新 > 常规下的高级设置窗口按键盘上的 F5 键中提供了更新设置选项此部分指定更新源信息例如正在使用的更新服务器和这些服务器的验证信息为使更新正常下载必须正确填写所有更新参数如果使用防火墙请确保您的 ESET 程序能与 Internet 通信例如 HTTP 通信常规当前使用的更新配置文件显示在所选的配置文件下拉菜单中如果更新出现了问题请单击清除以清除临时更新缓存过期病毒库警报自动设置病毒库最长保留时长/最长的病毒库保留时长(天) - 允许设置最长保留时长以天为单位在此之后病毒库将报告为已过期默认值为 7 153

回滚如果您怀疑病毒库和或程序模块的新更新不稳定或损坏可以回滚至以前版本并禁用设定时期内的更新此外您可以启用先前禁用的更新如果曾将其无限期推迟 ESET Mail Security 记录病毒库和程序模块的快照以用于回滚功能要创建病毒库快照请保持创建更新文件快照处于启用状态本地存储的快照数量字段定义了存储的先前病毒库快照的数量示例以 10646

154 回滚如果您怀疑病毒库和或程序模块的新更新不稳定或损坏可以回滚至以前版本并禁用设定时期内的更新此外您可以启用先前禁用的更新如果曾将其无限期推迟 ESET Mail Security 记录病毒库和程序模块的快照以用于回滚功能要创建病毒库快照请保持创建更新文件快照处于启用状态本地存储的快照数量字段定义了存储的先前病毒库快照的数量示例以作为病毒库最新版本和存储作为病毒库快照在下载之前到现在不可用例如因为计算机长时间关闭并且有更新的更新可用如果将本地存储的快照数量字段设置为 2 并单击回滚病毒库包括程序模块将恢复至版本号此过程需要一些时间在 ESET Mail Security 主程序窗口的更新部分检查病毒库版本是否已降级配置文件 154

155 若要创建新配置文件请选择配置文件列表旁边的编辑输入您自己的配置文件名称然后单击添加您可以使用以下选项编辑配置文件基本更新类型 - 从下拉菜单中选择要使用的更新类型定期更新 - 默认情况下更新类型设置为定期更新以确保用最少的网络流量从 ESET 服务器自动下载更新文件预发布更新 - 是已经经过内部彻底测试的更新将很快公开提供您可以通过获得最新检测方法和修补程序从启用预发布更新中获益但是预发布更新可能并不始终稳定不得在需要最大程度可用性和稳定性的生产服务器和工作站上使用延迟更新 - 允许从提供新版本病毒库的延迟至少 X 小时的特别更新服务器进行更新即在真实环境中测试并因此视为稳定的数据库禁用关于成功更新的通知 - 关闭屏幕右下角的系统托盘通知如果正在运行全屏应用程序或游戏选择此选项很有用请演示模式将关闭所有通知从可移动磁盘更新 - 当可移动磁盘包含了创建的镜像时允许您从该可移动磁盘更新选中了自动执行后将在后台运行更新如果要显示更新对话框请选中始终询问默认情况下更新服务器菜单设置为自动选择更新服务器是存储更新的地方如果使用 ESET 服务器我们建议您保持选中默认选项使用本地 HTTP 服务器也称为镜像时更新服务器应进行如下设置使用启用 SSL 的本地 HTTP 服务器时更新服务器应进行如下设置使用本地共享文件夹时更新服务器应进行如下设置 \\computer_name_or_its_ip_address\shared_folder 从镜像更新 155

更新服务器的验证基于许可证密钥该密钥在您购买之后生成并发送给您当使用本地镜像服务器时您可以先定义凭据以便客户端在接收更新前登录镜像服务器默认情况下无需进行验证并且用户名和密码字段留空更新模式 HTTP 代理用以下身份连接到局域网镜像 431 更新回滚如果单击回滚则必须从下拉菜单中选择时间间隔该间隔表示将暂停病毒库和程序模块更新的时段

156 更新服务器的验证基于许可证密钥该密钥在您购买之后生成并发送给您当使用本地镜像服务器时您可以先定义凭据以便客户端在接收更新前登录镜像服务器默认情况下无需进行验证并且用户名和密码字段留空更新模式 HTTP 代理用以下身份连接到局域网镜像 431 更新回滚如果单击回滚则必须从下拉菜单中选择时间间隔该间隔表示将暂停病毒库和程序模块更新的时段选择直到调用可将常规更新无限期推迟直到您手动恢复更新功能因为它具有潜在安全风险我们不建议选择此选项病毒库版本降级至最旧版本并作为快照存储在本地计算机文件系统中 432 更新模式更新模式选项卡包含关于程序组件更新的选项此程序使您能够预定义在有新的程序组件升级时执行何种操作程序组件更新包含新功能或对以前版本中已存在的功能进行更改更新无需用户介入即可自动执行您也可以选择执行时收取通知程序组件更新安装完毕后可能需要重新启动在程序组件更新部分中提供以下三个选项下载程序组件前询问 - 默认选项当更新可用时将提示您确认或拒绝程序组件更新总是更新程序组件 - 将自动下载并安装程序组件更新请记住计算机可能需要重新启动从不更新程序组件 - 不执行程序组件更新该选项适用于服务器安装因为服务器通常只在进行维护时才重新启动最适合选项的选择取决于将应用这些设置的工作站请工作站和服务器之间存在区别例如程序更新后自动重新启动服务器可能会造成严重损害 156

157 如果您想要升级到新版本的 ESET Mail Security 请启用程序组件手动更新此项默认已禁用当启用此项并且较新版本的 ESET Mail Security 可用时检查更新将显示在更新选项卡中如果启用了下载更新前先询问选项在新更新可用时将显示通知如果更新文件大小大于询问的前提是更新文件大于 (kb) 字段中指定的值程序将显示通知 157

433 H T T P 代理若要访问给定更新配置文件的代理服务器设置选项请单击代理模式并并选择以下三个选项之一不使用代理服务器用于指定将不使用代理服务器来更新 ESET Mail Security 代理服务器的默认设置为使用全局代理服务器设置使用全局代理服务器设置选项将使用已在高级设置 > 工具 > 代理服务器中指定的代理服务器配置选项在以下情况下应选择通过代理服务器连接选项 o

158 433 H T T P 代理若要访问给定更新配置文件的代理服务器设置选项请单击代理模式并并选择以下三个选项之一不使用代理服务器用于指定将不使用代理服务器来更新 ESET Mail Security 代理服务器的默认设置为使用全局代理服务器设置使用全局代理服务器设置选项将使用已在高级设置 > 工具 > 代理服务器中指定的代理服务器配置选项在以下情况下应选择通过代理服务器连接选项 o 应使用代理服务器来更新 ESET Mail Security 同时与全局设置工具 > 代理服务器中指定的代理服务器不同如果是这种情况应在此处指定设置代理服务器地址通信端口默认情况下是 3128 再加上代理服务器的用户名和密码如果需要 o 代理服务器设置未全局设置但是 ESET Mail Security 将连接到代理服务器以进行更新 o 您的计算机通过代理服务器连接到 Internet 这些设置是在安装程序时从 Internet Explorer 获取的如果之后设置发生更改例如更换了 Internet 服务提供商请检查此窗口中列出的 HTTP 代理设置是否正确否则程序将无法连接到更新服务器用户名和密码等验证数据用于访问代理服务器仅当需要用户名和密码时才填写这些字段请这些字段中不能填写 ESET Mail Security 的用户名密码仅当您知道通过代理服务器访问 Internet 需要填写密码时才填写这些信息如果代理不可用请使用直接连接 - 如果产品配置为利用 HTTP 代理但该代理不可访问该产品将绕过代理直接与 ESET 服务器通信 158

434 用以下身份连接到局域网从运行 Windows 的本地服务器更新时默认需要对每个网络连接进行验证配置选项位于更新 > 配置文件 > 用以下身份连接到局域网下的高级设置树 (F5) 中若要配置您的帐户请从本地用户类型下拉菜单中选择以下选项之一系统帐户(默认) - 使用系统帐户进行验证通常如果主更新设置部分不提供验证数据则不会进行验证当前用户 -

159 434 用以下身份连接到局域网从运行 Windows 的本地服务器更新时默认需要对每个网络连接进行验证配置选项位于更新 > 配置文件 > 用以下身份连接到局域网下的高级设置树 (F5) 中若要配置您的帐户请从本地用户类型下拉菜单中选择以下选项之一系统帐户(默认) - 使用系统帐户进行验证通常如果主更新设置部分不提供验证数据则不会进行验证当前用户 - 若要确保程序使用当前登录的用户帐户进行验证请选择此选项此解决方案的缺点在于如果当前没有用户登录则程序将无法连接到更新服务器指定用户 - 若要使用特定用户帐户进行验证请选择此选项当默认系统帐户连接失败时使用此方式请注意指定用户帐户必须有权访问本地服务器上的更新文件目录否则程序将无法建立连接并下载更新警告选择当前用户或指定用户后如果将程序身份更改为所需用户可能发生错误我们建议在主更新设置部分中输入局域网验证数据在此更新设置部分中应按如下所示输入验证数据 domain_name\user 如果是工作组请输入 workgroup_name\name 和密码从本地服务器的 HTTP 版本更新时无需验证更新后断开与服务器的连接 - 如果与服务器的连接在更新完成下载后仍保持活动状态将强制断开连接 159

435 镜像 ESET Mail Security 允许您创建更新文件的副本可用于更新位于网络中的其他工作站使用镜像 - 在局域网环境中复制更新文件很方便因为更新文件不需要通过每台工作站从供应商更新服务器反复下载可将更新下载到本地镜像服务器然后分发给所有工作站以避免网络流量过载风险从镜像更新客户端工作站可优化网络负载平衡并节约 Internet 连接带宽

160 435 镜像 ESET Mail Security 允许您创建更新文件的副本可用于更新位于网络中的其他工作站使用镜像 - 在局域网环境中复制更新文件很方便因为更新文件不需要通过每台工作站从供应商更新服务器反复下载可将更新下载到本地镜像服务器然后分发给所有工作站以避免网络流量过载风险从镜像更新客户端工作站可优化网络负载平衡并节约 Internet 连接带宽本地镜像服务器的配置选项位于更新 > 配置文件 > 镜像选项卡中的高级设置树 (F5) 中创建更新镜像创建更新镜像 - 启用此选项后将激活其他镜像配置选项例如访问更新文件的方式和镜像文件的更新路径访问更新文件通过内部 HTTP 服务器提供更新文件 - 启用后即可通过 HTTP 访问更新文件而无需提供凭据 Windows XP 需要 Service Pack 2 或更高版本以使用 HTTP 服务器在从镜像更新中详细描述了访问镜像服务器的方法有两种访问镜像的基本方法具有更新文件的文件夹可以表示为共享网络文件夹或者客户端可以访问位于 HTTP 服务器上的镜像存储镜像文件的文件夹 - 单击清除如果想要更改存储镜像文件的已定义默认文件夹C:\ProgramData \ESET\ESET File Security\mirror 单击编辑以浏览到本地计算机上的文件夹或共享网络文件夹如果需要对指定文件夹的授权则必须在用户名和密码字段中输入验证数据如果选定的目标文件夹位于运行 Windows NT/2000/XP 操作系统的网络磁盘上则指定的用户名和密码必须对选定的文件夹有写权限用户名和密码应按照域用户或工作组用户的格式输入请记住提供相应密码文件 - 配置镜像后可指定要下载的更新的语言版本选定的语言必须受用户配置的镜像服务器支持 HTTP 服务器 160

161 服务器端口 - 默认情况下服务器端口设置为 2221 验证 - 定义用于访问更新文件的验证方法有以下选项可供使用无基本和 NTLM 选择基本以使用 base64 编码进行基本用户名和密码验证 NTLM 选项提供使用安全编码方法的编码对于验证将使用在共享更新文件的工作站上创建的用户默认设置为无此设置授予对更新文件的访问权无需验证用于 HTTP 服务器的 SSL 添加您的证书链文件或者如果您要运行具有 HTTPS (SSL) 支持的 HTTP 服务器也可以生成自签名证书可用的证书类型包括 PEM PFX 和 ASN 若要获得更高的安全性您可以使用 HTTPS 协议来下载更新文件几乎无法跟踪使用此协议的数据传输和登录凭据默认情况下私人密钥类型设置为已集成因此默认禁用私人密钥文件选项这意味着私人密钥是所选证书链文件的一部分用以下身份连接到局域网本地用户类型 - 系统帐户(默认) 当前用户和指定用户设置将显示在相应的下拉菜单中用户名和密码设置是可选项请参阅用以下身份连接到局域网如果更新下载后与服务器的连接仍然保持活动状态则选择更新后断开与服务器的连接以强制断开连接程序组件更新自动更新组件 - 允许安装新功能并更新现有功能无需用户介入即可自动执行更新或者您也可以选择在执行时收取通知程序组件更新安装完毕后可能需要重新启动立即更新组件 - 将程序组件更新到最新版本 4351 从镜像更新有两种配置镜像的基本方法该镜像实质上是一个存储库客户端可在其中下载更新文件具有更新文件的文件夹可以表示为共享网络文件夹或 HTTP 服务器使用内部 HTTP 服务器访问镜像此配置是默认的在预定义的程序配置中指定若要允许使用 HTTP 服务器访问镜像请导航到高级设置 (F5) > 更新 > 配置文件 > 镜像然后选择创建更新镜像在HTTP 服务器部分镜像选项卡内可以指定 HTTP 服务器将侦听的服务器端口以及 HTTP 服务器使用的验证类型默认情况下服务器端口设置为 2221 验证选项定义用于访问更新文件的验证方法有以下选项可供使用无基本和 NTLM 选择基本以使用 base64 编码进行基本用户名和密码验证 NTLM 选项提供使用安全编码方法的编码对于验证将使用在共享更新文件的工作站上创建的用户默认设置为无此设置授予对更新文件的访问权无需验证警告如果您希望允许通过 HTTP 服务器访问更新文件镜像文件夹必须和创建它的 ESET Mail Security 实例位于同一计算机上用于 HTTP 服务器的 SSL 添加您的证书链文件或者如果您要运行具有 HTTPS (SSL) 支持的 HTTP 服务器也可以生成自签名证书可用的证书类型包括 PEM PFX 和 ASN 若要获得更高的安全性您可以使用 HTTPS 协议来下载更新文件几乎无法跟踪使用此协议的数据传输和登录凭据私人密钥类型默认设置为已集成这意味着私人密钥是所选证书链文件的一部分 161

在几次尝试从镜像更新病毒库失败之后将在主菜单的更新选项卡中显示用户名和或密码无效错误建议导航到高级设置 (F5) > 更新 > 配置文件 > 镜像然后检查用户名和密码此错误的最常见原因是错误输入了验证数据配置镜像服务器后您必须在客户端工作站上添加新的更新服务器要执行该操作请遵循以下步骤 1 访问高级设置 (F5) 然后依次单击更新 > 配置文件 > 基本 2

162 在几次尝试从镜像更新病毒库失败之后将在主菜单的更新选项卡中显示用户名和或密码无效错误建议导航到高级设置 (F5) > 更新 > 配置文件 > 镜像然后检查用户名和密码此错误的最常见原因是错误输入了验证数据配置镜像服务器后您必须在客户端工作站上添加新的更新服务器要执行该操作请遵循以下步骤 1 访问高级设置 (F5) 然后依次单击更新 > 配置文件 > 基本 2 取消自动选择并采用以下格式之一将新服务器添加到更新服务器字段如果使用 SSL 通过系统共享访问镜像首先应在本地或网络设备上创建共享文件夹为镜像创建文件夹时必须为将更新文件保存到文件夹的用户提供写入权限为所有将从镜像文件夹更新 ESET Mail Security 的用户提供读取权限接下来继续在高级设置 > 更新 > 配置文件 > 镜像中配置对镜像的访问方法是禁用通过内部 HTTP 服务器提供更新文件程序安装包中默认启用此选项如果共享文件夹位于网络中的另一台计算机上必须输入验证数据以访问该计算机要输入验证数据请打开 ESET Mail Security 高级设置 (F5) 然后依次单击更新 > 配置文件 > 用以下身份连接到局域网如用以下身份连接到局域网部分所述此设置和用于更新的设置相同完成镜像配置后在客户端工作站上使用以下步骤将 \\UNC\PATH 设置为更新服务器 1 打开 ESET Mail Security 高级设置 (F5) 然后依次单击更新 > 配置文件 > 基本 2 单击更新服务器并使用 \\UNC\PATH 格式添加新服务器为使更新正常工作镜像文件夹的路径必须指定为 UNC 路径从映射驱动器进行的更新可能无法工作最后一个部分控制程序组件 (PCU) 默认准备下载的程序组件复制本地镜像如果激活程序组件更新则无需 162

163 单击更新因为当文件可用时将自动复制到本地镜像参见更新模式了解程序组件更新的更多信息 4352 镜像文件可用和本地化的程序组件文件的列表 4353 镜像更新问题故障排除在大多数情况下在从镜像服务器更新的过程中发生的问题可能因以下一种或多种情况引起错误地指定镜像文件夹选项镜像文件夹验证数据不正确尝试从镜像下载更新文件的本地工作站上的配置不正确或以上原因的综合下面我们简要介绍在从镜像更新的过程中可能发生的最常见问题连接到镜像服务器时 ESET Mail Security 报告错误可能因错误地指定本地工作站从中下载更新的更新服务器镜像文件夹的网络路径引起要验证文件夹请单击 Windows 开始菜单单击运行输入文件夹名称并单击确定应显示文件夹的内容 ESET Mail Security 需要用户名和密码 - 可能因在更新部分中输入了错误的验证数据用户名和密码引起用户名和密码用于授予对更新服务器的访问权程序将从更新服务器自行更新确保验证数据正确并以正确格式输入例如域用户名或工作组用户名再加上相应的密码如果镜像服务器可供所有人访问请这并不意味着向任何用户授予访问权所有人不意味着任何非授权用户它仅表示文件夹可供所有域用户访问因此如果文件夹可供所有人访问仍需要在更新设置部分中输入域用户名和密码连接到镜像服务器时 ESET Mail Security 报告错误定义用于访问 HTTP 版镜像的端口上的通信被阻止 44 Web 和电子邮件 Web 和电子邮件部分允许您配置电子邮件客户端防护使用 Web 访问保护保护您的 Internet 通信以及通过配置协议过滤来控制 Internet 协议在通过 Internet 通信时这些功能对于保护您的计算机很重要电子邮件客户端防护控制所有电子邮件通信防止恶意代码并允许您在检测到感染时选择要采取的操作 Web 访问保护监视 Web 浏览器和远程服务器之间的通信并遵从 HTTP 和 HTTPS 规则此功能还允许您阻止允许或排除某些 URL 地址协议过滤为应用程序协议提供高级保护它由 ThreatSense 扫描引擎提供无论使用 Web 浏览器还是使用电子邮件客户端该控件都会自动工作它还可用于加密的 (SSL/TLS) 通信在 Windows Server 2008 Windows Server 2008 R2 Small Business Server 2008 和 Small Business Server 2011 上默认情况下禁止安装 Web 和电子邮件组件如果您想要安装此功能请选择自定义安装类型如果已安装 ESET Mail Security 可以再次运行安装程序以便通过添加 Web 和电子邮件组件来修改现有安装 441 协议过滤针对应用程序协议的病毒防护由 ThreatSense 扫描引擎提供该引擎集成了多种高级恶意软件扫描技术无论使用哪种 Internet 浏览器或电子邮件客户端协议过滤都会自动工作如果协议过滤已启用 ESET Mail Security 将检查使用 SSL/TLS 协议的通讯请转到 Web 和电子邮件 > SSL/TLS 启用应用程序协议内容过滤可以用于禁用协议过滤请许多 ESET Mail Security 组件 Web 访问保护电子邮件协议防护和网络钓鱼防护都依赖于此选项如果没有此选项组件将不起作用排除的应用程序 - 允许您从协议过滤中排除特定应用程序单击编辑从应用程序列表中进行选择排除的 IP 地址 - 允许您从协议过滤中排除特定远程地址协议过滤导致兼容性问题时排除非常有用 163

164 4411 排除的应用程序要将特定网络感知应用程序的通信排除在内容过滤之外请在列表中选择它们将不检查选定应用程序的 HTTP/POP3 通信是否存在威胁重要信息我们建议仅当应用程序无法正常工作而需要检查其通信时才使用此选项可使用的功能如下所示添加显示已受协议过滤影响的应用程序和服务编辑 - 从列表中选择的应用程序删除 - 从列表中选择的应用程序 4412 排除的 IP 地址此列表中的 IP 地址将被排除在协议内容过滤之外将不检查往返选定地址的 HTTP/POP3/IMAP 通信是否存在威胁重要信息我们建议仅在地址可信赖时使用此选项可使用的功能如下所示添加 - 添加将应用规则的远程点的 IP 地址地址范围子网当选择输入多个值时可以添加由换行符逗号或分号分隔的多个 IP 地址启用多项选择时地址将显示在已排除 IP 地址的列表中编辑 - 编辑选择的 IP 地址删除 - 从列表中删除选择的 IP 地址 4413 W e b 和电子邮件客户端由于 Internet 上充斥着大量恶意代码安全浏览 Internet 就成了计算机保护的一个非常重要的方面 Web 浏览器的漏洞和欺骗链接能够帮助恶意代码进入系统且不会引起这也是 ESET Mail Security 注重 Web 浏览器安全性的原因所在访问网络的每个应用程序都可以标记为 Internet 浏览器可以将已使用协议进行通信的应用程序或来自选定路径的应用程序添加到 Web 和电子邮件客户端列表从 Windows Vista Service Pack 1 和 Windows Server 2008 开始使用新的 Windows 过滤平台 (WFP) 架构检查网络通信由于 WFP 技术使用了特殊的监视技术因此 Web 和电子邮件客户端部分不可用 442 S S L/ T LS ESET Mail Security 能够检查使用 SSL/TLS 协议的通信中是否存在威胁通过受信任的证书未知证书或不受 SSL 保护的通信检查的证书可以将不同的扫描模式用于检查受 SSL 保护的通信启用 SSL/TLS 协议过滤 - 如果禁用协议过滤该程序将不会通过 SSL/TLS 扫描通信 SSL/TLS 协议过滤模式在以下选项中可用自动模式 - 选择此选项来扫描所有受 SSL/TLS 保护的通信除了由排除在检查之外的证书保护的通信如果使用未知的签署的证书建立了新通信不会提示您且通信将自动被过滤当不受信任的证书被标记为受信任位于受信任的证书列表上而用来访问服务器时会允许对该服务器的通信也会过滤通信通道的内容交互模式 - 如果您输入一个受 SSL/TLS 保护的新站点使用未知证书将显示操作选择对话框此模式允许您创建将不扫描的 SSL/TLS 证书列表 164

已知证书列表 - 允许您自定义针对特定 SSL 证书的 ESET Mail Security 行为阻止使用已过时 SSL v2 协议加密的通信 - 将自动阻止使用该早期版本的 SSL 协议的通信根证书要使 SSL/TLS 通信在您的浏览器电子邮件客户端中正常工作请务必将 ESET 根证书添加到已知根证书发布者的列表中应启用将根证书添加到已知浏览器选中此选项可自动将 ESET

165 已知证书列表 - 允许您自定义针对特定 SSL 证书的 ESET Mail Security 行为阻止使用已过时 SSL v2 协议加密的通信 - 将自动阻止使用该早期版本的 SSL 协议的通信根证书要使 SSL/TLS 通信在您的浏览器电子邮件客户端中正常工作请务必将 ESET 根证书添加到已知根证书发布者的列表中应启用将根证书添加到已知浏览器选中此选项可自动将 ESET 根证书添加到已知浏览器如 Opera 和 Firefox 对于使用系统证书存储的浏览器会自动添加证书例如在 Internet Explorer 中要将该证书应用到不受支持的浏览器请依次单击查看证书 > 详细信息 > 复制到文件然后手动将其导入该浏览器证书有效性使用 TRCA 证书机构无法验证该证书时在某些情况下无法使用受信任的根证书颁发机构 (TRCA) 验证网站证书这意味着该证书将由某人例如 Web 服务器或小型企业的管理员签名将此证书视为受信任并不总是存在风险大部分大型企业例如银行使用 TRCA 签名的证书如果选中了询问证书的有效性默认为选中将在建立加密通信时提示用户选择要采取的操作您可以选择阻止使用该证书的通信以始终终止使用未验证证书站点的加密连接该证书无效或已损坏时这意味着证书已过期或已错误地签名在这种情况下我们建议保持选中阻止使用该证书的通信 4421 加密的 S S L 通信如果您的系统配置为使用 SSL 协议扫描在两种情况下将显示用于提示您选择操作的对话窗口首先如果网站使用无法验证或无效的证书而且 ESET Mail Security 配置为在此类情况下询问用户默认情况下无法验证的证书为是无效的证书为否将显示一个对话框询问您允许还是阻止该连接其次如果 SSL 协议过滤模式设置为交互模式用于每个网站的对话框都将询问要扫描还是忽略通信某些应用程序验证其 SSL 通信未受到任何人的修改或检查在此类情况下 ESET Mail Security 必须忽略该通信以保持应用程序正常工作在这两种情况下用户可以选择记住选中的操作保存的操作存储在已知证书列表中 165

4422 已知证书列表已知证书列表可用于自定义特定 SSL/TLS 证书的 ESET Mail Security 行为如果在 SSL/TLS 协议过滤模式下选中交互模式还可用于记住所选的操作可以通过单击已知证书列表旁边的编辑查看和管理该列表您可以从以下操作中选择添加 - 从 URL 或文件添加证书编辑 - 选择您希望配置的证书然后单击编辑删除 -

166 4422 已知证书列表已知证书列表可用于自定义特定 SSL/TLS 证书的 ESET Mail Security 行为如果在 SSL/TLS 协议过滤模式下选中交互模式还可用于记住所选的操作可以通过单击已知证书列表旁边的编辑查看和管理该列表您可以从以下操作中选择添加 - 从 URL 或文件添加证书编辑 - 选择您希望配置的证书然后单击编辑删除 - 选择您希望删除的证书然后单击删除转到添加证书窗口后单击 URL 或文件然后指定证书 URL 或浏览到证书文件将自动使用证书中的数据填充以下字段证书名称 - 证书的名称证书颁发者 - 证书创建者的名称证书主题 - 主题字段可标识与存储在主题公共密钥字段中的公共密钥相关联的实体可以配置的选项选择允许或阻止作为访问操作以允许阻止受此证书保护的通信不管其可信度如何都是如此选择自动以允许受信任的证书并询问是否允许不受信任的证书选择询问在遇到特定证书时会收到提示选择扫描或忽略作为扫描操作以扫描或忽略受此证书保护的通信选择自动以在自动模式下扫描并在交互模式进行询问选择询问在遇到特定证书时会收到提示单击确定保存更改或单击取消在不保存的情况下退出 166

167 443 电子邮件客户端防护 ESET Mail Security 与电子邮件客户端的集成可提高针对电子邮件中恶意代码的主动防护级别如果您的电子邮件客户端受支持则可以在 ESET Mail Security 中启用集成如果激活了集成则 ESET Mail Security 工具栏将直接插入电子邮件客户端未插入适用于较新版本的 Windows Live Mail 的工具栏从而提供更高效的电子邮件防护集成设置位于设置 > 高级设置 > Web 和电子邮件 > 电子邮件客户端防护 > 电子邮件客户端下电子邮件客户端集成当前受支持的电子邮件客户端包括 Microsoft Outlook Outlook Express Windows Mail 和 Windows Live Mail 电子邮件保护的工作方式和这些程序的插件相同插件的主要优点在于它独立于所用的协议当电子邮件客户端收到加密邮件时邮件会解密并发送给病毒扫描程序有关支持的电子邮件客户端及其版本的完整列表请参阅以下知识库文章即使未启用集成电子邮件通信仍受电子邮件客户端防护模块 POP3 IMAP 保护如果使用电子邮件客户端仅限 MS Outlook 时遇到系统运行缓慢的情况请启用禁用对收件箱内容更改的检查当从 Kerio Outlook Connector Store 中检索电子邮件时可能会发生这种情况要扫描的电子邮件已接收的电子邮件 - 切换到检查已接收到的邮件已发送的电子邮件 - 切换到检查已发送的邮件已阅读的电子邮件 - 切换到检查已阅读的邮件要对被感染的电子邮件执行的操作不操作 - 如果启用则程序虽能识别感染的附件但不会对电子邮件采取任何操作删除电子邮件 - 程序会通知用户有关渗透的信息并删除邮件将电子邮件移到已删除文件夹 - 受感染的电子邮件将自动移至已删除文件夹将电子邮件移到文件夹 - 受感染的电子邮件将自动移至指定的文件夹文件夹 - 指定希望将检测到的受感染电子邮件移到的自定义文件夹更新后重新扫描 - 在病毒库更新后切换到重新扫描接受其他模块的扫描结果 - 如果选中此选项电子邮件保护模块会接受其他保护模块的扫描结果 POP3 IMAP 协议扫描 4431 电子邮件协议启用通过协议过滤提供电子邮件防护 IMAP 和 POP3 协议是使用最广泛的协议用于在电子邮件客户端应用程序中接收电子邮件通信无论使用何种电子邮件客户端 ESET Mail Security 均对这些协议提供保护 ESET Mail Security 还支持扫描 IMAPS 和 POP3S 协议这些协议使用加密通道在服务器和客户端之间传输信息 ESET Mail Security 利用 SSL 安全套接字层和 TLS 传输层安全协议检查通信无论操作系统版本如何该程序将只在 IMAPS/POP3S 协议使用的端口中定义的端口上扫描通信 IMAPS/POP3S 扫描程序设置如果默认设置正在使用中将不会扫描加密通信若要启用加密通信的扫描请导航至 SSL/TLS 协议检查端口号用于标识端口类型下面介绍默认电子邮件端口的相关内容端口名称端口号说明 POP3 110 默认 POP3 非加密端口 IMAP 143 默认 IMAP 非加密端口安全 IMAP (IMAP4-SSL) 585 启用 SSL/TLS 协议过滤多个端口号必须使用逗号分隔 IMAP4 over SSL (IMAPS) 993 启用 SSL/TLS 协议过滤多个端口号必须使用逗号分隔安全 POP3 (SSL-POP) 启用 SSL/TLS 协议过滤多个端口号必须使用逗号分隔

168 4432 警报和通知电子邮件防护可控制通过 POP3 和 IMAP 协议接收的电子邮件通信通过使用 Microsoft Outlook 和其他电子邮件客户端的插件程序 ESET Mail Security 可控制电子邮件客户端的所有通信 POP3 MAPI IMAP 和 HTTP 检查传入邮件时程序使用 ThreatSense 扫描引擎内包含的所有高级扫描方法这意味着恶意程序检测在与病毒库匹配之前就已进行对 POP3 和 IMAP 协议通信的扫描与使用何种电子邮件客户端无关此功能的选项在 Web 和电子邮件 > 电子邮件客户端防护 > 警报和通知下的高级设置中可用 ThreatSense 参数 - 高级病毒扫描程序设置使您能够配置扫描目标检测方法等单击以显示详细的病毒扫描程序设置窗口选中一个电子邮件后可将包含扫描结果的通知附加到邮件中您可以选择在已接收并阅读的电子邮件上添加标记消息在已接收并阅读的被感染电子邮件主题上添加注释或在已发送电子邮件上添加标记消息请在少数情形下标记消息可能被有问题的 HTML 邮件忽略而恶意软件也可能伪造这些消息可将标记消息添加到已接收已阅读的电子邮件已发送的电子邮件或两类邮件中都添加可用选项包括从不 - 不添加任何标记信息仅对被感染的电子邮件 - 仅将包含恶意软件的邮件标记为已选中默认对所有扫描的电子邮件 - 程序将把消息附加到所有已扫描的电子邮件上在已发送的被感染电子邮件主题中添加注释 - 如果不想要在被感染的电子邮件主题中包含病毒警告则禁用此选项此功能允许对被感染的电子邮件进行简单的基于主题的过滤如果电子邮件程序支持它还可提高收件人的可信性如果检测到渗透还可提供关于给定电子邮件或发件人威胁级别的宝贵信息添加到被感染电子邮件主题中的模板 - 如果您希望修改被感染电子邮件的主题前缀格式则编辑此模板此功能将替换邮件主题 "Hello" 为以下格式的给定前缀值 "[virus]" "[virus] Hello" 变量 %VIRUSNAME% 代表被感染的威胁 4433 MS Outlo o k 工具栏 Microsoft Outlook 防护以插件模块的方式工作安装 ESET Mail Security 后包含病毒防护选项的此工具栏将添加到 Microsoft Outlook ESET Mail Security - 单击图标打开 ESET Mail Security 的主程序窗口重新扫描邮件 - 允许您手动启动电子邮件检查您可以指定将被检查的邮件并且可以启用对已接收电子邮件的重新扫描有关详细信息请参阅电子邮件客户端防护扫描程序设置 - 显示电子邮件客户端防护设置选项 4434 Outlo o k E xp re s s 和 W ind o ws Ma il 工具栏 Outlook Express 和 Windows Mail 防护以插件模块的方式工作安装 ESET Mail Security 后包含病毒防护选项的此工具栏将添加到 Outlook Express 或 Windows Mail ESET Mail Security - 单击图标打开 ESET Mail Security 的主程序窗口重新扫描邮件 - 使您能够手动启动电子邮件检查您可以指定将被检查的邮件并且可以启用对已接收电子邮件的重新扫描有关详细信息请参阅电子邮件客户端防护扫描程序设置 - 显示电子邮件客户端防护设置选项用户界面自定义外观 - 可为电子邮件客户端修改工具栏的外观取消选中此选项可以不依赖电子邮件程序参数而自定义外观显示文本 - 显示图标的说明右侧文本 - 选项说明将从图标的底部移到右侧大图标 - 显示菜单选项的大图标 168

169 4435 确认对话框此通知用于验证用户是否确实想执行所选操作这将消除可能发生的错误该对话框也提供禁用确认的选项 4436 重新扫描邮件 ESET Mail Security 工具栏与电子邮件客户端集成在一起使用户能指定若干电子邮件检查选项重新扫描邮件选项提供两种扫描模式当前文件夹中的所有邮件 - 扫描当前显示的文件夹中的邮件仅选定的邮件 - 仅扫描由用户标记的邮件重新扫描已扫描的邮件 - 提供给用户对之前已扫描过的邮件运行另一个扫描的选项 444 W e b 访问保护 Web 访问保护通过监视 Web 浏览器和远程服务器之间的通信来保护您免受在线威胁遵循 HTTP 超文本传输协议和 HTTPS 加密通信规则在下载内容之前将阻止访问已知包含恶意内容的网页所有其他网页在加载时会由 ThreatSense 扫描引擎进行扫描并且如果检测到恶意内容将阻止它们 Web 访问保护提供两种级别的保护按黑名单阻止和按内容阻止我们强烈建议您保持启用 Web 访问保护在高级设置 (F5) > Web 和电子邮件 > Web 访问保护中提供以下选项基本 - 允许您启用或禁用 Web 访问保护禁用该功能后以下选项会处于非活动状态 Web 协议 - 允许您为大多数 Internet 浏览器使用的这些标准协议配置监视默认情况下 ESET Mail Security 将配置为监视由大部分 Internet 浏览器使用的 HTTP 协议在 Windows Vista 及更高版本中始终在所有应用程序的所有端口上监视 HTTP 通信在 Windows XP/2003 中您可以在高级设置 (F5) > Web 和电子邮件 > Web 访问保护 > Web 协议 > HTTP 扫描程序设置中修改由 HTTP 协议使用的端口在所有应用程序的指定端口上以及标记为 Web 和电子邮件客户端的应用程序的所有端口上监视 HTTP 通信 ESET Mail Security 还支持 HTTPS 协议检查 HTTPS 通信使用加密通道在服务器和客户端之间传输信息 ESET Mail Security 利用 SSL 安全套接字层和 TLS 传输层安全协议检查通信无论操作系统版本如何该程序将只在 HTTPS 协议使用的端口中定义的端口上扫描通信如果默认设置正在使用中将不会扫描加密通信若要启用加密通信扫描请导航到高级设置 (F5)中的 SSL 协议检查依次单击 Web 和电子邮件 > SSL 协议检查然后选择启用 SSL 协议过滤 URL 地址管理 - 允许您指定要阻止允许或不检查的 HTTP 地址 ThreatSense 参数 - 允许您配置设置如扫描类型电子邮件压缩文件排除限制等以及 Web 访问保护的检测方法 4441 基本选择是要启用默认还是禁用 Web 访问保护禁用该功能后以下选项会处于非活动状态我们强烈建议您保持启用 Web 访问保护通过导航至设置 > 计算机 > Web 访问保护还可以从 ESET Mail Security 的主程序窗口中访问此选项 169

170 4442 U R L 地址管理 URL 地址管理允许您指定要阻止允许或不检查的 HTTP 地址单击编辑以在预定义的列表之外另行创建新列表如果您希望按逻辑拆分不同的地址组这可能非常有用示例一个阻止的地址列表可能包含某些外部公开黑名单中的地址另一个阻止的地址列表可能包含您自己的黑名单中的地址这可在保持您的黑名单不变的同时轻松更新外部列表将不能访问已阻止地址列表中的网站除非它们还包含在已允许地址的列表中在访问时不会针对不进行检查的地址列表中的网站进行扫描以查找恶意代码如果您在过滤 HTTP 网页之外还希望过滤 HTTPS 地址则必须启用 SSL/TLS 协议过滤否则将仅添加您访问过的 HTTPS 站点的域而不会添加完整 URL 在所有列表中您都可以使用特殊符号星号和? 问号星号表示任何数字或字符而问号表示任一字符指定排除的地址时请务必谨慎因为此列表应仅包含信任的和安全的地址同样必须确保在此列表中正确使用符号和? 如果您希望阻止所有 HTTP 地址活动的允许的地址列表中存在的地址除外请将添加到活动的阻止的地址列表新建列表除了预定义的地址列表之外还可以创建新的列表该列表包含将会被阻止允许或不检查的所需 URL 地址域掩码在新建列表时请指定以下各项地址列表类型 - 从下拉列表中选择类型不检查阻止或允许列表名称 - 指定列表的名称在编辑三个预定义列表之一时此字段将变灰列表说明 - 键入列表的简短说明可选在编辑三个预定义列表之一时将变灰列出活动 - 使用开关停用该列表您可以在以后需要时激活它应用时发送通知 - 如果您希望在特定列表用于评估您访问过的 HTTP 网站时收到通知可选择该项示例将在阻止或允许网站时发出通知因为它包含在阻止或允许的地址列表中该通知将包含含有指定网站的列表的名称 170

单击添加指定 URL 地址域掩码选择列表中的某个地址然后单击删除即可删除该地址单击编辑可更改现有条目只可以删除自定义地址列表 ESET Mail Security 允许用户阻止对指定网站的访问并阻止 Internet 浏览器显示其内容除此之外它还允许用户指定应从检查中排除的地址如果用户不知道远程服务器的完整名称或想要指定整组远程服务器可以使

171 单击添加指定 URL 地址域掩码选择列表中的某个地址然后单击删除即可删除该地址单击编辑可更改现有条目只可以删除自定义地址列表 ESET Mail Security 允许用户阻止对指定网站的访问并阻止 Internet 浏览器显示其内容除此之外它还允许用户指定应从检查中排除的地址如果用户不知道远程服务器的完整名称或想要指定整组远程服务器可以使用所谓的掩码来标识这样的组掩码包括符号? 和使用? 来替代一个符号使用来替代一个文本字符串示例 *c?m 应用于最后部分以字母 c 开头以字母 m 结尾其间包含一个未知字符的所有地址 com cam 等若在域名的开头处使用将特殊处理以开头的序列首先在本例中通配符不能代表斜杠字符这是为了避免绕过掩码例如掩码 domaincom 将不匹配此类后缀可以附加到任何 URL 不会影响下载第二在此特殊案例中还将匹配一个空字符串这是为了可使用单个掩码匹配包括任何子域在内的整个域例如掩码 domaincom 还匹配使用 *domaincom 是不正确的因为它还会匹配 171

172 选择输入多个值时可以添加多个由换行符逗号或分号分隔的文件扩展名启用多项选择时地址将显示在列表中导入 - 导入内含 URL 地址的文本文件使用换行符分隔值例如使用 UTF-8 编码的 *txt 172

44422 地址列表默认情况下有以下三种列表可供使用不检查的地址列表 - 程序不会对已添加至此列表的任何地址执行恶意代码检查允许的地址列表 - 如果启用了仅允许访问许可地址列表中的 HTTP 地址且阻止地址列表中包含与所有地址相匹配将只允许用户访问此列表中指定的地址允许该列表中的地址即使这些地址包含在阻止地址列表中也是如此阻止的地址列表 -

173 44422 地址列表默认情况下有以下三种列表可供使用不检查的地址列表 - 程序不会对已添加至此列表的任何地址执行恶意代码检查允许的地址列表 - 如果启用了仅允许访问许可地址列表中的 HTTP 地址且阻止地址列表中包含与所有地址相匹配将只允许用户访问此列表中指定的地址允许该列表中的地址即使这些地址包含在阻止地址列表中也是如此阻止的地址列表 - 将不允许用户访问此列表中指定的地址除非这些地址还出现在允许的地址列表中添加 - 将新 URL 地址添加到列表使用分隔符输入多个值编辑 - 修改列表中的现有地址仅可用于使用添加创建的地址删除 - 删除列表中的现有地址仅可用于使用添加创建的地址 445 网络钓鱼防护 ESET Mail Security 提供网络钓鱼防护网络钓鱼防护是 Web 和电子邮件模块的组成部分如果已使用完全安装类型安装了 ESET Mail Security 默认情况下安装的 Web 和电子邮件会启用网络钓鱼防护但是这并不适用于运行 Microsoft Windows Server 2008 的系统 Web 和电子邮件组件不是 Windows Server 2008 或 Windows Server 2008 R2 系统上完全 ESET Mail Security 安装类型的组成部分如果需要可以通过添加 Web 和电子邮件组件并启用网络钓鱼防护来修改现有安装网络钓鱼这一术语是指利用社会工程学操纵用户以获取机密信息的一种犯罪活动网络钓鱼通常用于获取敏感信息如银行帐号 PIN 码等的访问权限在词汇表中阅读此活动的详细信息 ESET Mail Security 包括网络钓鱼防护用于阻止散布此类内容的已知网页我们强烈建议您启用 ESET Mail Security 中的网络钓鱼防护若要执行此操作请打开高级设置 (F5) 并导航至 Web 和电子邮件 > 网络钓鱼防护有关 ESET Mail Security 中网络钓鱼防护的详细信息请访问我们的知识库文章 173

访问网络钓鱼网站当访问已识别的网络钓鱼网站时以下对话框将显示在您的 Web 浏览器中如果您仍需要访问该网站请单击继续浏览此网站不推荐在默认情况下白名单上列出的潜在网络钓鱼网站将在几小时后过期要永久允许某一网站可使用 URL 地址管理工具通过高级设置 (F5) 展开 Web 和电子邮件 > Web 访问保护 > URL 地址管理> 地址列表并单击编辑

174 访问网络钓鱼网站当访问已识别的网络钓鱼网站时以下对话框将显示在您的 Web 浏览器中如果您仍需要访问该网站请单击继续浏览此网站不推荐在默认情况下白名单上列出的潜在网络钓鱼网站将在几小时后过期要永久允许某一网站可使用 URL 地址管理工具通过高级设置 (F5) 展开 Web 和电子邮件 > Web 访问保护 > URL 地址管理> 地址列表并单击编辑然后向该列表添加要编辑的网站报告网络钓鱼站点报告链接使您能够向 ESET 报告网络钓鱼恶意网站以供分析向 ESET 提交网站前确保其满足以下一个或多个标准未检测到该网站该网站被错误地检测为威胁在此情况下您可以报告误报的网络钓鱼站点此外也可以通过电子邮件提交网站请将电子邮件发送至请记住邮件主题一定要描述清楚邮件应包含尽可能多的有关此网站的信息例如从哪里引用了此网站您是如何了解到它的等 174

45 设备控制 ESET Mail Security 提供自动设备 (CD/DVD/USB/) 控制此模块允许您扫描阻止或调整扩展的过滤器权限并定义用户访问和使用给定设备的能力如果计算机管理员不希望使用包含不请自来的内容的设备此模块将很有用支持的外部设备磁盘存储 HDD USB 可移动磁盘 CD/DVD USB 打印机 FireWire 存储蓝牙设备智能卡读卡器刻录设备

175 45 设备控制 ESET Mail Security 提供自动设备 (CD/DVD/USB/) 控制此模块允许您扫描阻止或调整扩展的过滤器权限并定义用户访问和使用给定设备的能力如果计算机管理员不希望使用包含不请自来的内容的设备此模块将很有用支持的外部设备磁盘存储 HDD USB 可移动磁盘 CD/DVD USB 打印机 FireWire 存储蓝牙设备智能卡读卡器刻录设备调制解调器 LPT/COM 端口便携式设备所有设备类型启用集成到系统旁的开关激活 ESET Mail Security 中的设备控制功能要使此更改生效需要重新启动计算机设备控制规则和组将处于活动状态允许您编辑它们的设置如果检测到受现有规则阻止的设备将显示通知窗口并且不会授予对设备的访问权限 451 设备控制规则编辑器设备控制规则编辑器窗口显示现有规则允许精确控制用户连接到计算机的外部设备可以按照用户用户组或规则配置中可指定的其他参数来允许或阻止特定设备规则列表包含规则的多项说明如名称外部设备的类型检测到设备后要执行的操作和日志严重级别 175

176 使用窗口底部的以下按钮管理规则添加 - 允许您添加新规则编辑 - 允许您修改现有规则的设置复制 - 基于选定规则的参数创建新规则删除 - 如果您想要删除所选规则此外还可以使用给定规则旁边的复选框禁用规则如果不希望永久删除规则以便将来可以使用该规则这可能很有用填充 - 检测与计算机连接的设备的可移动磁盘设备参数按优先级顺序列出规则优先级较高的规则位于顶部您可以选择多个规则并应用操作例如删除它们或通过单击最高向上向下最低箭头按钮在列表中上下移动它们从 ESET Mail Security 主程序窗口的工具 > 日志文件可以查看日志条目 452 添加设备控制规则设备控制规则定义满足规则条件的设备连接到计算机时将采取的操作在名称字段中输入规则说明以更好识别单击已启用规则旁的开关以禁用或启用此规则如果不希望永久删除此规则这可能会有用设备类型从下拉菜单中选择外部设备类型磁盘存储便携式设备蓝牙 FireWire/ 设备类型从操作系统继承只要设备连接到计算机就可在系统设备管理器中查看存储设备包括通过 USB 或 FireWire 连接的外部磁盘或传统存储卡读卡器智能卡读卡器包括具有嵌入式集成电路的所有智能卡读卡器如 SIM 卡或身份验证卡成像设备示例包括扫描仪或照相机这些设备不提供用户信息仅提供用户操作信息这意味着只能全局阻止成像设备 176

177 操作可以允许或阻止访问非存储设备相比之下存储设备规则允许选择以下权限设置之一读写 - 将允许对设备的完全访问权限阻止 - 将阻止对设备的访问只读 - 仅允许对设备进行读取访问警告 - 每次连接设备时系统都会通知用户这是否得到允许或受到阻止并且将记录日志条目系统不会记住设备在以后连接同一设备时仍会显示通知请不是所有权限操作都可用于所有设备类型如果设备具有存储空间则所有四个操作都可用对于非存储设备只有两个操作可用例如只读操作对蓝牙不可用因此这意味着只能允许或阻止蓝牙设备下面显示的其他参数可用于微调规则并根据设备定制所有参数都不区分大小写供应商 - 按供应商名称或 ID 过滤型号 - 设备的给定名称序列号 - 外部设备通常具有自己的序列号如果是 CD/DVD 这是给定介质的序列号而不是 CD 驱动器如果这三个描述符是空的则匹配后该规则将忽略这些字段所有文本字段中的过滤参数都不区分大小写并且不支持通配符? 要找出设备参数请创建允许此设备类型的规则将设备连接到计算机然后查看设备控制日志中的设备详细信息严重级别始终 - 记录所有事件诊断 - 记录微调程序所需的信息信息 - 记录包括成功更新消息及以上所有记录在内的信息性消息警告 - 记录严重错误和警告消息无 - 不记录任何日志可以通过将规则添加到用户列表来将规则限制为特定用户或用户组添加 - 打开对象类型用户或组对话框该窗口可用来选择需要的用户删除 - 从过滤器删除选定用户所有设备均可按用户规则进行过滤例如成像设备不提供用户信息仅提供已调用操作的信息 453 检测的设备填充按钮提供了当前所有已连接设备的概述其中包括以下信息设备类型设备供应商型号以及序列号如果有当您从已检测的设备列表选择某个设备并单击确定时将显示具有预定义信息的规则编辑器窗口可调整所有设置 454 设备组设备组窗口分为两个部分该窗口右侧包含属于各个组的设备列表而该窗口左侧包含现有组的列表选择包含要在右窗格中显示的设备的组警告将外部设备连接到计算机可能会带来安全风险打开设备组窗口且选择组后您可以从该列表添加或删除设备另一种向组添加设备的方法是从文件导入它们此外还可以单击填充然后连接到计算机的所有设备将在已检测的设备窗口中列出从已填充的列表中选择设备然后单击确定以将其添加到组 177

178 您可以针对应用的不同规则来创建不同的设备组还可以创建设置为读写或只读的单个设备组这确保了在未标识的设备连接到计算机时设备控制会阻止它们可使用的功能如下所示添加 - 通过输入其名称添加新设备组或将设备添加到现有组您可以选择指定详细信息例如供应商名称型号和序列号具体取决于您在窗口中点击按钮的位置编辑 - 让您可以修改选定组的名称或其中包含的设备的参数供应商型号和序列号删除 - 删除选定组或设备具体取决于您在窗口中单击的位置导入 - 从文件导入设备序列号列表填充 - 检测与计算机连接的设备的可移动磁盘设备参数完成自定义后单击确定若要在不保存更改的情况下离开设备组窗口请单击取消并非所有操作权限都可用于所有设备类型对于存储设备所有四项操作都可用对于非存储设备只有三项操作可用例如只读操作对蓝牙不可用因此这意味着只能允许阻止或警告蓝牙设备 46 工具下面是 ESET Mail Security 在主 GUI 窗口中的工具选项卡下提供的所有工具的高级设置日志文件代理服务器电子邮件通知演示模式诊断群集 461 E S E T Liv e Grid ESET LiveGrid 是包含多种基于云的技术的高级预警系统它帮助基于信誉检测新威胁并通过白名单提高扫描性能新威胁信息将实时传输到云这使 ESET 恶意软件研究实验室能够提供及时的响应并始终提供持续的防护用户可以直接从程序界面或右键菜单检查运行进程和文件的信誉并从 ESET LiveGrid 获取其他信息安装 ESET Mail Security 时请选择以下选项之一 1 您可以决定不启用 ESET LiveGrid 您的软件不会失去任何功能但在某些情况下 ESET Mail Security 可能会比病毒库更新更慢地响应新威胁 2 您可以配置 ESET LiveGrid 以提交关于新威胁以及检测到的新威胁代码所在位置的匿名信息此文件可以发送到 ESET 以供详细分析研究这些威胁将帮助 ESET 更新其威胁检测功能 ESET LiveGrid 将收集您的计算机中与新检测到的威胁相关的信息这些信息可能包括出现威胁的文件的样本或副本该文件的路径文件名日期和时间威胁出现在计算机上的过程以及有关您的计算机操作系统的信息默认情况下 ESET Mail Security 配置为向 ESET 病毒实验室提交可疑文件以供分析始终排除具有特定扩展名的文件例如 doc 或 xls 如果您或您的组织希望避免发送特定类型的文件也可以添加其他扩展名 178

179 ESET LiveGrid 信誉系统提供了基于云的白名单和黑名单若要访问 ESET LiveGrid 的设置请按 F5 以进入高级设置p 然后依次展开工具 > ESET LiveGrid 启用 ESET LiveGrid 信誉系统建议 - ESET LiveGrid 信誉系统通过将已扫描的文件与云中白名单和黑名单项目数据库进行比较可提高 ESET 恶意软件防护解决方案的效率提交匿名统计 - 允许 ESET 收集有关新检测到的威胁的信息如威胁名称检测日期和时间检测方法和相关联的元数据产品版本以及配置其中包括有关您的系统的信息提交样本 - 将类似威胁的可疑样本和或具有不正常特征或行为的样本提交给 ESET 以供分析选择启用日志记录以创建记录文件和统计信息提交的事件日志这将启用在发送文件或统计信息后记录到事件日志联系人电子邮件(可选) - 您的联系人电子邮件可以与任何可疑文件一起发送而且可能用于在需要进一步信息以供分析时联系您请除非需要更多信息否则 ESET 不会与您联系 179

排除 - 排除过滤器允许您不提交某些文件文件夹例如在排除诸如文档或电子表格等可能包含机密信息的文件时会很有用列出的文件即使包含可疑代码也不会发送给 ESET 实验室以供分析默认情况下最常见的文件类型均被排除 doc 等如果需要可以添加到排除文件列表如果您以前使用过 ESET LiveGrid 但已禁用它可能仍会发送数据包

180 排除 - 排除过滤器允许您不提交某些文件文件夹例如在排除诸如文档或电子表格等可能包含机密信息的文件时会很有用列出的文件即使包含可疑代码也不会发送给 ESET 实验室以供分析默认情况下最常见的文件类型均被排除 doc 等如果需要可以添加到排除文件列表如果您以前使用过 ESET LiveGrid 但已禁用它可能仍会发送数据包即使已停用此类数据包也会发送给 ESET 发送完当前所有信息后将不会再创建任何数据包 4611 排除过滤器 ESET LiveGrid 中排除旁的编辑选项可用于配置将威胁提交到 ESET 病毒实验室以供分析的方式如果发现可疑文件可以将其提交到我们的威胁实验室进行分析如果文件是一个恶意应用程序则下次病毒库更新中将添加对此程序的检测 180

181 462 Mic ro s o ft W ind o ws 更新 Windows 更新提供对潜在危险的漏洞的重要修复并提高计算机的常规安全级别出于此原因即时安装 Microsoft Windows 更新很重要 ESET Mail Security 会根据您指定的级别通知您有关错过的更新可用级别包括无更新 - 不提供系统更新供下载可选更新 - 将提供标记为低优先级及更高优先级的更新供下载建议的更新 - 将提供标记为常用及更高优先级的更新供下载重要更新 - 将提供标记为重要及更高优先级的更新供下载关键更新 - 仅提供关键更新供下载单击确定可保存更改在验证更新服务器的状态后将显示系统更新窗口在保存更改后系统更新信息可能无法立即使用 463 E S E T CMD 这一功能支持高级 ecmd 命令它允许使用命令行 (ecmdexe) 导出和导入设置目前只可以使用 GUI 导出设置 ESET Mail Security 配置可以导出为 xml 文件启用 ESET CMD 后提供有两种授权方法无 - 无需授权不建议您使用此方法因为该选项允许导入任何未签名的配置存在潜在风险高级设置密码 - 需要密码才能导入 xml 文件中的配置该文件必须经过签名有关详细信息请参阅签名 xml 配置文件在可以导入新配置之前必须提供访问设置中指定的密码如果未启用访问设置密码不匹配或 xml 配置文件未签名则不会导入配置在 ESET CMD 启用后即可使用命令行来导入或导出 ESET Mail Security 配置既可手动执行也可为了自动执行而创建脚本重要信息若要使用高级 ecmd 命令需要具有管理员权限才可运行这些命令或者使用以管理员身份运行打开 Windows 命令提示 (cmd) 否则将收到 Error executing command 消息此外导出配置时目标文件夹必须存在 ESET CMD 设置关闭后导出命令仍然有效示例导出设置命令 ecmd /getcfg c:\config\settingsxml 导入设置命令 ecmd /setcfg c:\config\settingsxml 高级 ecmd 命令只可以本地运行使用 ERA 执行客户端任务运行命令将不起作用签名 xml 配置文件 1 下载 XmlSignTool 可执行文件 2 使用以管理员身份运行打开 Windows 命令提示 (cmd) 3 导航到 xmlsigntoolexe 所在的位置 4 执行对 xml 配置文件进行签名的命令用法 xmlsigntool /version 1 2 <xml_file_path> 重要信息参数 /version 的值取决于 ESET Mail Security 的版本 ESET Mail Security 65 使用 /version 1 181

182 5 当 XmlSignTool 提示输入您的高级设置密码时请输入两遍该密码您的 xml 配置文件现在已完成签名可用于使用密码授权方法通过 ESET CMD 在 ESET Mail Security 的另一个实例上进行导入示例对已导出配置文件进行签名的命令 xmlsigntool /version 1 c:\config\settingsxml 如果您的访问设置密码已更改并且想要导入之前使用旧密码签名的配置则使用当前密码重新对该 xml 配置文件进行签名这使您可以使用较旧的配置文件而无需在导入之前将它导出到运行 ESET Mail Security 的另一台计算机 464 W MI 提供程序关于 WMI Windows 管理设备 (WMI) 是基于 Web 的企业管理 (WBEM) 的 Microsoft 实现 WBEM 是一个行业计划旨在开发在企业环境中访问管理信息的标准技术有关 WMI 的详细信息请参阅 aa384642(v=vs85)aspx ESET WMI 提供程序 ESET WMI 提供程序的目的是允许在企业环境中远程监视 ESET 产品而无需任何 ESET 特定的软件或工具通过 WMI 公开基本产品状态和统计信息在监视 ESET 产品时我们极大地增强了企业管理员的可能作用管理员可以利用由 WMI 提供的大量访问方法命令行脚本和第三方企业监视工具来监控其 ESET 产品的状态当前的实现提供了对基本的产品信息安装的功能以及它们的防护状态个别扫描程序的统计信息和产品的日志文件的只读访问权限 WMI 提供程序支持使用标准 Windows WMI 基础架构和工具读取产品状态和产品日志 182

183 4641 提供的数据所有与 ESET 产品相关的 WMI 类都位于 root\eset 命名空间中当前已实现以下类将在以下部分详细介绍它们常规 ESET_Product ESET_Features ESET_Statistics 日志 ESET_ThreatLog ESET_EventLog ESET_ODFileScanLogs ESET_ODFileScanLogRecords ESET_ODServerScanLogs ESET_ODServerScanLogRecords ESET_MailServerLog ESET_Product 类 ESET_Product 类只能有一个实例此类的属性表示您已安装的 ESET 产品的基本信息 ID - 产品类型标识符例如 emsl Name - 产品名称例如 ESET Mail Security FullName - 产品的全名例如 ESET Mail Security for IBM Domino Version - 产品版本号例如 VirusDBVersion - 病毒库版本号例如 ( ) VirusDBLastUpdate - 病毒库最后更新版本的时间戳该字符串包含采用 WMI 日期时间格式的时间戳例如 LicenseExpiration - 许可证过期时间该字符串包含采用 WMI 日期时间格式的时间戳 KernelRunning - 指示 ekrn 服务是否在计算机上运行的布尔值例如 TRUE StatusCode - 指示产品防护状态的数字 0 - 绿色良好 1 - 黄色警告 2 - 红色错误 StatusText - 描述出现非零状态代码的原因的消息否则为空 ESET_Features 类 ESET_Features 类具有多个实例具体取决于产品功能数每个实例都包含 Name - 功能名称名称列表在下面提供 Status - 功能状态 0 - 非活动 1 - 禁用 2 - 启用表示当前可识别的产品功能的字符串的列表 CLIENT_FILE_AV - 文件系统实时病毒防护 CLIENT_WEB_AV - 客户端 Web 病毒防护 CLIENT_DOC_AV - 客户端文档病毒防护 CLIENT_NET_FW - 客户端个人防火墙 CLIENT_ _AV - 客户端电子邮件病毒防护 CLIENT_ _AS - 客户端电子邮件反垃圾邮件防护 SERVER_FILE_AV - 对受保护的文件服务器产品上的文件的实时病毒防护例如以 ESET Mail Security 为例 SharePoint 的内容数据库中的文件 SERVER_ _AV - 对受保护的服务器产品中的电子邮件的病毒防护例如 MS Exchange 或 IBM Domino 中的电子邮件 SERVER_ _AS - 对受保护的服务器产品中的电子邮件的反垃圾邮件防护例如 MS Exchange 或 IBM Domino 中的电子邮件 SERVER_GATEWAY_AV - 对网关上受保护的网络协议的病毒防护 SERVER_GATEWAY_AS - 对网关上受保护的网络协议的反垃圾邮件防护 183

184 ESET_Statistics 类 ESET_Statistics 类具有多个实例具体取决于产品中的扫描程序数每个实例都包含 Scanner - 特定扫描程序的字符串代码例如 CLIENT_FILE Total - 已扫描文件的总数 Infected - 找到的受感染文件的数量 Cleaned - 已清除文件的数量 Timestamp - 对此统计信息的最后一次更改的时间戳采用 WMI 日期时间格式例如 ResetTime - 最后一次重置统计计数器时的时间戳采用 WMI 日期时间格式例如表示当前可识别的扫描程序的字符串的列表 CLIENT_FILE CLIENT_ CLIENT_WEB SERVER_FILE SERVER_ SERVER_WEB ESET_ThreatLog 类 ESET_ThreatLog 类具有多个实例每个实例表示检测到的威胁日志中的一条日志记录每个实例都包含 ID - 此日志记录的唯一 ID Timestamp - 日志记录的创建时间戳采用 WMI 日期时间格式 LogLevel - 日志记录的严重性以 [0-8] 内的数字表示这些值与以下命名级别相对应 Debug InfoFootnote Info Info-Important Warning Error SecurityWarning Error-Critical SecurityWarning-Critical Scanner - 创建此日志事件的扫描程序的名称 ObjectType - 生成此日志事件的对象的类型 ObjectName - 生成此日志事件的对象的名称 Threat - 已在由 ObjectName 和 ObjectType 属性描述的对象中找到的威胁的名称 Action - 识别威胁后所执行的操作 User - 导致此日志事件生成的用户帐户 Information - 对事件的其他描述 ESET_EventLog ESET_EventLog 类具有多个实例每个实例表示事件日志中的一条日志记录每个实例都包含 ID - 此日志记录的唯一 ID Timestamp - 日志记录的创建时间戳采用 WMI 日期时间格式 LogLevel - 日志记录的严重性以 [0-8] 区间内的数字表示这些值与以下命名级别相对应 Debug InfoFootnote Info Info-Important Warning Error SecurityWarning Error-Critical SecurityWarning-Critical 模块 - 创建此日志事件的模块的名称事件 - 事件的说明 User - 导致此日志事件生成的用户帐户 ESET_ODFileScanLogs ESET_ODFileScanLogs 类具有多个实例每个实例表示一条手动文件扫描记录这相当于其中包含日志的 GUI 手动计算机扫描列表每个实例都包含 184 ID - 此手动日志的唯一 ID Timestamp - 日志的创建时间戳采用 WMI 日期时间格式 Targets - 扫描的目标文件夹对象 TotalScanned - 已扫描对象的总数 Infected - 找到的受感染对象的数量 Cleaned - 已清除对象的数量 Status - 扫描进程的状态

185 ESET_ODFileScanLogRecords ESET_ODFileScanLogRecords 类具有多个实例每个实例表示一个扫描日志由 ESET_ODFileScanLogs 类中的实例表示中的一条日志记录此类中的实例提供所有手动扫描日志的日志记录当仅需某个特定扫描日志中的实例时必须按 LogID 属性对其进行过滤每个类实例都包含 LogID - 此日志所属的扫描日志的 ID ESET_ODFileScanLogs 类中某个实例的 ID ID - 此扫描日志记录的唯一 ID Timestamp - 日志记录的创建时间戳采用 WMI 日期时间格式 LogLevel - 日志记录的严重性以 [0-8] 内的数字表示这些值与以下命名级别相对应 Debug InfoFootnote Info Info-Important Warning Error SecurityWarning Error-Critical SecurityWarning-Critical Log - 实际日志消息 ESET_ODServerScanLogs ESET_ODServerScanLogs 类具有多个实例每个实例表示手动服务器扫描的一次运行每个实例都包含 ID - 此手动日志的唯一 ID Timestamp - 日志的创建时间戳采用 WMI 日期时间格式 Targets - 扫描的目标文件夹对象 TotalScanned - 已扫描对象的总数 Infected - 找到的受感染对象的数量 Cleaned - 已清除对象的数量 RuleHits - 规则命中总数 Status - 扫描进程的状态 ESET_ODServerScanLogRecords ESET_ODServerScanLogRecords 类具有多个实例每个实例表示一个扫描日志由 ESET_ODServerScanLogs 类中的实例表示中的一条日志记录此类中的实例提供所有手动扫描日志的日志记录当仅需某个特定扫描日志中的实例时必须按 LogID 属性对其进行过滤每个类实例都包含 LogID - 此日志所属的扫描日志的 ID ESET_ODServerScanLogs 类中某个实例的 ID ID - 此扫描日志记录的唯一 ID Timestamp - 日志记录的创建时间戳采用 WMI 日期时间格式 LogLevel - 日志记录的严重性以 [0-8] 区间内的数字表示这些值与以下命名级别相对应 Debug InfoFootnote Info Info-Important Warning Error SecurityWarning Error-Critical SecurityWarning-Critical Log - 实际日志消息 ESET_GreylistLog ESET_GreylistLog 类具有多个实例每个实例表示灰名单日志中的一条日志记录每个实例都包含 ID - 此日志记录的唯一 ID Timestamp - 日志记录的创建时间戳采用 WMI 日期时间格式 LogLevel - 日志记录的严重性以 [0-8] 内的数字表示这些值与以下命名级别相对应 Debug InfoFootnote Info Info-Important Warning Error SecurityWarning Error-Critical SecurityWarning-Critical HELODomain - HELO 域的名称 IP - 源 IP 地址 Sender - 电子邮件发件人 Recipient - 电子邮件收件人 Action - 执行的操作 TimeToAccept - 接受电子邮件前所需的分钟数 185

186 4642 访问提供的数据以下提供几个有关如何从 Windows 命令行和 PowerShell 访问 ESET WMI 数据的示例应可从当前任何 Windows 操作系统进行操作但是还存在使用其他脚本语言和工具访问该数据的许多其他方法不带脚本的命令行此wmic 命令行工具可用于访问各种预定义的或任何自定义的 WMI 类显示本地计算机上的产品的完整信息 wmic /namespace:\\root\eset Path ESET_Product 仅显示计算机上的产品的产品版本号 wmic /namespace:\\root\eset Path ESET_Product Get Version 显示 IP 为的远程计算机上的产品的完整信息 wmic /namespace:\\root\eset /node: /user:administrator Path ESET_Product PowerShell 获取并显示本地计算机上的产品的完整信息 Get-WmiObject ESET_Product -namespace 'root\eset' 获取并显示 IP 为的远程计算机上的产品的完整信息 $cred = Get-Credential # 提示用户输入凭据并将其存储在变量中 Get-WmiObject ESET_Product -namespace 'root\eset' -computername ' ' -cred $cred 465 E R A 扫描目标此功能允许 ESET Remote Administrator 在具有 ESET Mail Security 的服务器上运行服务器扫描客户端任务时使用合适的扫描目标手动邮箱数据库扫描和 Hyper-V 扫描当您启用生成目标列表时 ESET Mail Security 将创建可用扫描目标的列表此列表根据更新时段定期生成 186

$该部分允许您修改 ESET Mail Security 日志记录的配置日志记录记录将写入事件日志 ( C:\ProgramData\ESET\ESET Mail 器中进行查看使用开关启用或禁用特定功能 Security\Logs\warnlogdat ) 并且可以在日志文件查看记录邮件传输错误 - 当启用此选项时如果邮件传输层发生问题错误消息将写入事件日志记录邮件传输异常 -$

187 在首次启用生成目标列表时 ERA 需要花费大约一半的指定更新时段来选取它所以如果更新时段设置为 60 分钟 ERA 要花费大约 30 分钟接收扫描目标列表如果需要 ERA 更早地收集列表请将更新时段设置为较小的值您始终可以稍后增加此值当 ERA 运行服务器扫描客户端任务时它会收集该列表并要求您为该特定服务器上的手动邮箱数据库扫描选择扫描目标 466 日志文件该部分允许您修改 ESET Mail Security 日志记录的配置日志记录记录将写入事件日志 ( C:\ProgramData\ESET\ESET Mail 器中进行查看使用开关启用或禁用特定功能 Security\Logs\warnlogdat ) 并且可以在日志文件查看记录邮件传输错误 - 当启用此选项时如果邮件传输层发生问题错误消息将写入事件日志记录邮件传输异常 - 邮件传输层中出现任何异常时相关详细信息将写入事件日志日志记录过滤器由于默认情况下启用所有日志记录选项因此会产生大量数据我们建议您选择性地禁用对于问题不重要或与问题不相关的组件的日志记录注释若要启动实际日志记录需要在主菜单设置 > 工具中启用产品级别的通用诊断日志记录日志记录本身打开后 ESET Mail Security 将依据本部分中启用的功能收集详细的日志使用开关启用或禁用特定功能还可以组合使用这些选项具体取决于 ESET Mail Security 中各个组件的可用性 187

188 数据库防护诊断日志记录邮件传输诊断日志记录重要信息当使用正常操作中运行的数据库扫描解决问题时我们建议您禁用邮件传输诊断日志记录否则它可能会堵塞生成的日志使其难以分析手动数据库扫描诊断日志记录将详细信息写入日志特别是在需要排除故障时群集诊断日志记录 - 这意味着群集日志记录将包括在通用诊断日志记录中日志文件定义日志的管理方式这很重要主要用于防止耗尽磁盘空间默认设置允许自动删除旧的日志以节省磁盘空间自动删除早于以下天数的记录字段中指定天数以前的日志条目将自动删除如果已超过日志大小则自动删除旧记录 - 如果日志大小超过最大日志大小 [MB] 将删除旧的日志记录直到达到减少的日志大小 [MB] 备份自动删除的记录 - 自动删除的日志记录和文件将备份到指定目录下并且可以选择压缩为 ZIP 文件备份诊断日志 - 将备份自动删除的诊断日志如果未启用则不会备份诊断日志记录备份文件夹 - 将存储日志备份的文件夹您可以启用使用 ZIP 压缩的日志备份自动优化日志文件 - 如果执行则碎片百分比高于如果未使用记录数超过 (%)字段中指定的值后将自动整理日志文件碎片单击优化开始对日志文件进行碎片整理将删除所有空白日志条目以改善性能并提高日志处理速度尤其在日志包含大量条目时可以感受到这种提高打开启用文本协议以支持采用不同于日志文件的其他文件格式存储日志目标目录 - 将存储日志文件的目录仅适用于文本 CSV 每个日志部分都具有自己的文件该文件具有预定义的文件名例如如果您使用纯文本文件格式存储日志则日志文件的检测到的威胁部分将使用 virlogtxt 类型 - 如果您选择文本文件格式日志将存储在文本文件中数据将由制表符分隔这也适用于由逗号分隔的 CSV 文件格式如果您选择事件则日志将存储在 Windows 事件日志可以使用控制面板中的事件查看器进行查看而非文件中删除所有日志文件 - 将擦除当前在类型下拉菜单中选定的所有存储日志导出到 Windows 应用程序和服务日志 - 使您可以将记录从邮件服务器防护日志复制到应用程序和服务日志若要查看邮件服务器防护日志请打开 Windows 事件查看器然后依次导航到应用程序和服务日志 > ESET > 安全 > Exchange Server > 邮件防护为了帮助更快地解决问题 ESET 客户服务部门会要求您提供计算机日志 ESET 日志收集器可使您轻松收集所需信息有关 ESET 日志收集器的详细信息请参阅我们的知识库文章 188

189 4661 日志过滤日志存储重要系统事件的相关信息日志过滤功能可以显示特定类型事件的记录将搜索关键字输入到查找文本字段中使用在列中搜索下拉菜单优化您的搜索记录类型 - 从下拉菜单选择一个或多个记录日志类型诊断 - 记录微调程序所需的信息和以上所有记录信息性 - 记录包括成功更新消息及以上所有记录在内的信息性消息警告 - 记录严重错误和警告消息错误 - 将记录类似下载文件时出错等错误和严重错误严重 - 仅记录严重错误启动病毒防护时出错时段 - 定义想要显示其结果的时段仅全字匹配 - 如果想要搜索特定的全字以得到更精确的结果则选中此复选框区分大小写 - 如果在过滤时使用大写或小写对您很重要则启用此选项 4662 在日志中查找除了日志过滤您还可以使用日志文件中的搜索功能但您也可以通过日志过滤单独使用它这在您寻找日志中的特定记录时很有用类似日志过滤此搜索功能将帮助您查找需要的信息尤其在有太多记录时在日志中进行搜索时您可以通过键入特定字符串查找文本使用在列中搜索下拉菜单按列搜索选择记录类型并设置时段以仅搜索特定时段内的记录通过指定某些搜索选项在日志文件窗口中仅搜索相关记录根据搜索选项查找文本:键入字符串词语或部分词语将仅查找包含此字符串的记录将省略其他记录在列中搜索:选择在搜索时将考虑哪些列您可以选中一个或多个列以用于搜索默认情况下将选中所有列时间已扫描的文件夹事件用户记录类型从下拉菜单中选择一个或多个记录日志类型诊断 - 记录微调程序所需的信息和以上所有记录信息性 - 记录包括成功更新消息及以上所有记录在内的信息性消息警告 - 记录严重错误和警告消息错误 - 将记录类似下载文件时出错等错误和严重错误严重 - 仅记录严重错误启动病毒防护时出错时段定义想要显示其结果的时段未指定默认不在时段内搜索而是搜索整个日志前一天上一周上个月时段 - 可以指定精确的时段日期和时间仅搜索指定时段内的记录仅全字匹配 - 仅查找字符串与内容文本框中的全字匹配的记录区分大小写 - 仅查找字符串与内容文本框中的精确大写匹配的记录向上搜索 - 从当前位置向上搜索配置搜索选项后即可单击查找以开始搜索当找到第一个相应的记录时搜索会停止再次单击查找以查看更多记录从您的当前位置突出显示的记录开始从上往下搜索日志文件 189

467 代理服务器在大型 LAN 网络中计算机可通过代理服务器连接到 Internet 如果是这样连接的则需要定义以下设置否则程序将无法自动更新在 ESET Mail Security 中高级设置窗口 (F5) 中的两个不同部分提供了代理服务器设置 1 高级设置 > 更新 > 配置文件 > HTTP 代理 - 此设置适用于给定更新配置文件建议笔记本电脑用户使用因

190 467 代理服务器在大型 LAN 网络中计算机可通过代理服务器连接到 Internet 如果是这样连接的则需要定义以下设置否则程序将无法自动更新在 ESET Mail Security 中高级设置窗口 (F5) 中的两个不同部分提供了代理服务器设置 1 高级设置 > 更新 > 配置文件 > HTTP 代理 - 此设置适用于给定更新配置文件建议笔记本电脑用户使用因为他们经常从不同位置接收病毒库更新有关此设置的详细信息请参阅高级更新设置部分 2 高级设置 > 工具 > 代理服务器 - 通过在此级别指定代理服务器定义所有 ESET Mail Security 的全局代理服务器设置此处的参数将由连接到 Internet 的所有模块使用要指定此级别的代理服务器设置请打开使用代理服务器开关然后将代理服务器地址和代理服务器的端口号输入到代理服务器字段如果与代理服务器的通信需要验证请打开代理服务器需要验证开关然后在相应字段中输入有效的用户名和密码单击检测以自动检测和填充代理服务器设置将复制在 Internet Explorer 中指定的参数此功能不检索验证数据用户名和密码它必须由您提供如果代理不可用请使用直接连接 - 如果产品配置为利用 HTTP 代理但该代理不可访问该产品将绕过代理直接与 ESET 服务器通信 190

468 电子邮件通知如果发生具有所选级别的事件 ESET Mail Security 可以自动发送通知电子邮件启用通过电子邮件发送事件通知以激活电子邮件通知 ESET Mail Security 支持采用 TLS 加密的 SMTP 服务器 SMTP 服务器 - 用于发送通知的 SMTP 服务器用户名和密码如果 SMTP 服务器需要验证则需在字段中填写有效的用户名和密码

191 468 电子邮件通知如果发生具有所选级别的事件 ESET Mail Security 可以自动发送通知电子邮件启用通过电子邮件发送事件通知以激活电子邮件通知 ESET Mail Security 支持采用 TLS 加密的 SMTP 服务器 SMTP 服务器 - 用于发送通知的 SMTP 服务器用户名和密码如果 SMTP 服务器需要验证则需在字段中填写有效的用户名和密码这样才能访问 SMTP 服务器发件人地址 - 输入发件人地址该地址将在通知电子邮件的标题中显示这是收件人会在发件人字段中看到的内容收件人地址指定收件人电子邮件地址将向收件人传递通知通知的最低级别 - 指定要发送的通知的最低级别启用 TLS - 允许 TLS 加密支持的警报和通知邮件在此间隔后将发送新的通知电子邮件(分钟) - 在此间隔以分钟为单位后将通过电子邮件发送新的通知如果要立即发送这些通知则将该值设置为 0 在单独的电子邮件中发送每个通知 - 启用后收件人将收到有关每个单独通知的新电子邮件这可能导致在短时间内收到大量的电子邮件邮件格式事件邮件的格式 - 显示在远程计算机上的事件邮件的格式另请参阅编辑格式威胁警告邮件的格式 - 威胁警报和通知邮件具有预定义的默认格式我们建议您不要更改该格式不过在某些情况下例如如果有自动电子邮件处理系统可能需要更改邮件格式另请参阅编辑格式 191

192 使用本地字母字符基于 Windows 区域设置例如 Windows-1250 将电子邮件转换为 ANSI 字符编码如果保留此选项未选中将转换邮件并以 ACSII 7 位编码例如 á 将更改为 a 未知符号改为? 使用本地字符编码电子邮件源将编码为使用 ASCII 字符的引用可打印 (QP) 格式可通过 8 位格式电子邮件正确传输特殊国家字符 (áéíóú) 4681 邮件格式程序和远程用户或系统管理员之间的通信通过电子邮件或 LAN 消息使用 Windows 消息服务来进行多数情况下警报消息和通知的默认格式是最适用的而在某些情况下可能需要更改事件邮件的格式在邮件中关键字用符号隔开的字符串由指定的实际信息替换可用关键字包括 %TimeStamp% - 事件的日期和时间 %Scanner% - 相关模块 %ComputerName% - 发生警报的计算机的名称 %ProgramName% - 产生警报的程序 %InfectedObject% - 被感染文件邮件等的名称 %VirusName% - 感染标识 %ErrorDescription% - 非病毒事件的说明关键字 %InfectedObject% 和 %VirusName% 仅用于威胁警告邮件而 %ErrorDescription% 仅用于事件邮件 469 演示模式演示模式是为那些需要不中断其使用软件不希望被弹出窗口打扰并希望尽量减少 CPU 使用的用户提供的功能演示模式还可以用于不能被病毒防护活动中断的演示启用时将禁用所有弹出窗口并且不会运行计划任务系统保护仍在后台运行但是不需要任何用户交互启用时将禁用所有弹出窗口并且不会运行计划任务系统保护仍在后台运行但是不需要任何用户交互依次单击设置 > 计算机然后单击演示模式旁边的开关以手动启用演示模式在高级设置窗口 (F5) 中依次单击工具 > 演示模式然后单击全屏模式运行应用程序时自动启用演示模式以在运行全屏应用程序时使 ESET Mail Security 自动处于演示模式启用演示模式将存在潜在安全风险因此任务栏上的监视状态图标将变成橙色并显示警告您还将在主程序窗口中看到此警告其中您将看到橙色的已启用演示模式当以全屏模式运行应用程序时自动启用演示模式时演示模式将在启动全屏应用程序时启动并在退出该应用程序后自动停止这对于在启动游戏打开全屏应用程序或开始播放演示文稿后立即启动演示模式尤为有用您还可以选择自动禁用演示模式时间以定义将在多久后以分钟为单位自动禁用演示模式 4610 诊断诊断提供 ESET 进程例如 ekrn 的应用程序崩溃转储如果应用程序崩溃将生成一个转储这能够帮助开发人员调试和修复各种 ESET Mail Security 问题单击转储类型旁的下拉菜单并选择以下三个可用选项之一选择禁用默认以禁用此功能小型 - 记录可能有助于识别应用程序意外崩溃原因的最小有用信息集此类转储文件在空间有限时有用然而因为所包含的信息有限分析此文件可能无法找到不是由出现问题时正在运行的线程直接导致的错误完整 - 当应用程序意外停止时记录系统内存的所有内容完整的内存转储可能包含在收集内存转储时正在运行进程的数据启用协议过滤高级日志记录 - 采用 PCAP 格式记录所有通过协议过滤引擎传递的数据从而帮助开发人员诊断和修复与协议过滤相关的问题目标目录 - 在崩溃期间将生成转储的目录打开诊断文件夹 - 单击打开以在新的 Windows 资源管理器窗口中打开此目录 192

193 4611 客户服务提交系统配置数据 - 从下拉菜单中选择总是提交或选择提交前询问以在提交数据前进行提示 4612 集群配置 ESET 群集时启用群集将自动启用您可以通过单击开关图标在高级设置窗口中禁用它当您需要在不影响 ESET 群集中其他节点的情况下更改配置时这是适合的操作此开关仅启用或禁用 ESET 群集功能若要设置或销毁群集请使用群集向导或销毁位于主程序窗口的工具 > 群集部分中的群集未配置和禁用的 ESET 群集 193

194 已使用其详细信息和选项正确配置的 ESET 群集有关 ESET 群集的详细信息请单击此处 47 用户界面用户界面允许您配置程序的图形用户界面 (GUI) 行为您可以调整程序的视觉外观和效果用户界面元素在用户界面元素部分中您可以调整工作环境使用 GUI 启动模式下拉菜单从以下图形用户界面 (GUI) 启动模式中进行选择 o 完整 - 将显示完整 GUI o 终端 - 将不显示任何通知或警报只能由管理员启动 GUI 如果图形元素降低计算机性能或导致其他问题应将用户界面设置为终端您可能还希望关闭终端服务器上的 GUI 有关安装在终端服务器上的 ESET Mail Security 的详细信息请参阅禁用终端服务器上的 GUI 主题如果希望停用 ESET Mail Security 初始屏幕则取消选择启动时显示初始屏幕若要使 ESET Mail Security 在扫描期间发生重要事件时例如在发现威胁时或已完成扫描时发出声音请选中使用声音信号 194

集成到右键菜单 - 将 ESET Mail Security 控件元素集成到右键菜单中应用程序状态 - 单击编辑管理启用或禁用主菜单中的监视选项卡中显示的状态还可以使用 ESET Remote Administrator 策略配置您的应用程序状态许可证信息 - 启用后将显示关于您的许可证的消息和通知警报和通知 - 通过配置警报和通知您可以更改检测到的威胁警报和系统通知的行为

195 集成到右键菜单 - 将 ESET Mail Security 控件元素集成到右键菜单中应用程序状态 - 单击编辑管理启用或禁用主菜单中的监视选项卡中显示的状态还可以使用 ESET Remote Administrator 策略配置您的应用程序状态许可证信息 - 启用后将显示关于您的许可证的消息和通知警报和通知 - 通过配置警报和通知您可以更改检测到的威胁警报和系统通知的行为可自定义这些设置以满足您的需求如果您选择不显示某些通知它们将显示在已禁用消息和状态区域中您可以在此处检查它们的状态显示更多详细信息或将它们从此窗口中删除访问设置 - 您可以使用工具访问设置工具来阻止所有未经授权的更改确保安全性保持较高级别帮助 - 使用本地安装的脱机帮助作为帮助内容的主要来源 ESET Shell - 您可以使用 eshell 通过更改 ESET Shell 执行策略配置对产品设置功能和数据的访问权限右键菜单 - 右键单击某个项可显示 ESET Mail Security 右键菜单集成使用此工具将 ESET Mail Security 控件元素集成到右键菜单中演示模式对于以下用户来说非常有用他们希望在不受弹出窗口计划任务和其他可能对系统资源造成压力的组件的影响下使用应用程序系统托盘图标恢复此部分中的所有设置/恢复为默认设置 195

471 警报和通知警报和通知部分在用户界面下允许您配置如何由 ESET Mail Security 处理威胁警报和系统通知成功更新消息您还可以设置显示时间和系统托盘通知透明度这仅适用于支持系统托盘通知的系统警报窗口禁用显示警报将取消所有警报窗口这只适用于少数特定情况对于大多数用户我们建议保留该选项的默认设置启用桌面通知桌面通知和气球提示仅作为信息提示方式

196 471 警报和通知警报和通知部分在用户界面下允许您配置如何由 ESET Mail Security 处理威胁警报和系统通知成功更新消息您还可以设置显示时间和系统托盘通知透明度这仅适用于支持系统托盘通知的系统警报窗口禁用显示警报将取消所有警报窗口这只适用于少数特定情况对于大多数用户我们建议保留该选项的默认设置启用桌面通知桌面通知和气球提示仅作为信息提示方式并且不需要用户交互它们显示在屏幕右下角的通知区域要启用桌面通知请选择在桌面上显示通知可通过以下方式修改通知显示时间和窗口透明度等更多详细选项打开在全屏模式下运行应用程序时不显示通知开关以阻止所有非交互通知您可以通过要显示事件的最低级别下拉菜单选择要显示的警报和通知的严重性级别提供以下选项诊断 - 记录微调程序所需的信息和以上所有记录信息性 - 记录包括成功更新消息及以上所有记录在内的信息性消息警告 - 记录严重错误和警告消息错误 - 将记录类似下载文件时出错等错误和严重错误严重 - 仅记录严重错误启动病毒防护时出错等此部分的最后一项功能允许您在多用户环境中配置通知目标对于多用户系统在以下用户的屏幕上显示通知字段在允许多个用户同时连接的系统上指定一个接收系统和其他通知的用户正常情况下应该是系统或网络管理员假如所有系统通知都发给管理员该选项对终端服务器特别有用消息框若要在一段时间后自动关闭弹出窗口请选择自动关闭消息框如果未手动关闭警报窗口会在超过指定时限后自动关闭 196

197 472 访问设置为最大限度地保障系统安全必须正确配置 ESET Mail Security 任何未经授权的更改都可能导致重要数据的丢失要避免未经授权的更改可用密码保护 ESET Mail Security 的设置参数用于密码保护的配置设置位于高级设置树 (F5) 中用户界面下的访问设置子菜单中密码保护设置 - 锁定解锁程序的设置参数单击以打开密码设置窗口要设置或更改密码以保护设置参数请单击设置密码受限的管理员帐户需要完全的管理员权限 - 选中此选项可在修改某些系统参数类似于 Windows Vista 中的 UAC 时提示当前用户如果该用户没有管理员权限输入管理员用户名和密码修改包括禁用保护模块如果访问设置密码更改并且想要使用 ESET CMD 命令行导入现有 xml 配置文件密码更改之前已签名请务必使用当前密码重新对该配置文件进行签名这使您在导入之前无需在另一台运行 ESET Mail Security 的计算机上导出旧版本配置文件即可使用该配置文件 4721 密码要避免未经授权的修改可用密码保护 ESET Mail Security 的设置参数 197

198 4722 密码设置若要保护 ESET Mail Security 的设置参数以避免发生未经授权的修改则必须设置新密码如果希望更改现有的密码则可以在旧密码字段中键入旧密码并在新密码和确认密码字段中输入新密码然后单击确定将来对 ESET Mail Security 的任何修改将需要该密码 473 帮助当您按 F1 键或单击? 按钮时将打开一个联机帮助窗口这是帮助内容的主要来源但是还有与程序一起安装的帮助的脱机副本脱机帮助在诸如未连接到 Internet 等情况下会打开当您有正常的 Internet 连接时将自动显示联机帮助的最新版本 474 E S E T S he ll 您可以使用 eshell 通过更改 ESET Shell 执行策略配置对产品设置功能和数据的访问权限默认设置为受限脚本但如果需要您可以将其更改为已禁用只读或完全访问已禁用 - eshell 完全不能使用仅允许使用 eshell 本身的配置在ui 的外观但无法访问产品设置或数据 eshell 上下文中您可以自定义 eshell 只读 - eshell 可以用作监视工具您可以在交互模式和批处理模式下查看所有设置但您无法修改任何设置或功能或者修改任何数据受限脚本 - 在交互模式下您可以查看和修改所有设置功能和数据在批处理模式下 eshell 的工作方式与在只读模式下相同但是如果使用已签名的批处理文件您将能够编辑设置和修改数据完全访问 - 在交互模式和批处理模式下在运行批处理文件时对所有设置的访问都不受限制您可以查看和修改任何设置您必须使用管理员帐户才能通过完全访问权限运行 eshell 如果 UAC 已启用还需要使用提升权限 475 在终端服务器上禁用 GU I 本章介绍如何为用户会话禁用运行在 Windows 终端服务器上的 ESET Mail Security 的 GUI 通常 ESET Mail Security GUI 在每次远程用户登录到服务器时启动并创建终端会话这在终端服务器上通常不需要如果希望关闭终端会话的 GUI 您可以使用 eshell 通过运行setui ui gui-start-mode terminal 命令实现该目的这会将 GUI 置于终端模式 GUI 启动有两种可用模式 set ui ui gui-start-mode full set ui ui gui-start-mode terminal 如果希望了解当前正在使用何种模式可运行 get ui ui gui-start-mode 命令如果您已在 Citrix 服务器上安装了 ESET Mail Security 建议使用知识库文章中所述的设置 476 已禁用消息和状态确认消息 - 向您显示确认消息列表您可以从中选择是否显示确认消息应用程序状态设置 - 允许您在主菜单的监视选项卡中启用或禁用显示状态 198

4761 确认消息该对话窗口将显示在执行任何操作之前 ESET Mail Security 显示的确认消息选中或取消选中每条确认消息旁的复选框以启用或禁用它 4762 应用程序状态设置此对话窗口使您可以选择或取消选择要显示或不要显示的应用程序状态例如当您暂停病毒和间谍软件防护时会导致防护状态发生变化此种情况会显示在监视页面中

199 4761 确认消息该对话窗口将显示在执行任何操作之前 ESET Mail Security 显示的确认消息选中或取消选中每条确认消息旁的复选框以启用或禁用它 4762 应用程序状态设置此对话窗口使您可以选择或取消选择要显示或不要显示的应用程序状态例如当您暂停病毒和间谍软件防护时会导致防护状态发生变化此种情况会显示在监视页面中如果您的产品未激活或者许可证已到期也将显示应用程序状态可以通过 ESET Remote Administrator 策略管理应用程序状态列表中显示的类别和状态具有以下两个选项显示和发送状态应用程序状态的发送列仅在 ESET Remote Administrator 策略配置中可见 ESET Mail Security 显示带有锁定图标的设置您可以使用覆盖模式暂时更改应用程序状态 199

477 系统托盘图标可通过右键单击系统托盘图标使用一些最重要的设置选项和功能暂停防护 - 显示禁用病毒和间谍软件防护的确认对话框这些防护通过控制文件 Web 和电子邮件通信来保护系统免受攻击时间间隔下拉菜单表示将为其禁用病毒和间谍软件防护的时段高级设置 - 选择此选项以进入高级设置您还可以通过按 F5 键或导航到设置 > 高级设置来访问高级设置日志文件 -

200 477 系统托盘图标可通过右键单击系统托盘图标使用一些最重要的设置选项和功能暂停防护 - 显示禁用病毒和间谍软件防护的确认对话框这些防护通过控制文件 Web 和电子邮件通信来保护系统免受攻击时间间隔下拉菜单表示将为其禁用病毒和间谍软件防护的时段高级设置 - 选择此选项以进入高级设置您还可以通过按 F5 键或导航到设置 > 高级设置来访问高级设置日志文件 - 日志文件包含所有已发生的重要程序事件的信息并提供检测到的威胁的概要信息隐藏 ESET Mail Security - 从屏幕隐藏 ESET Mail Security 窗口重置窗口布局 - 将 ESET Mail Security 窗口重置为其默认大小和屏幕位置病毒库更新 - 开始更新病毒库以确保您对恶意代码的防护级别关于 - 提供系统信息有关已安装的 ESET Mail Security 版本以及安装的程序模块的详细信息以及您的许可证到期日期有关您的操作系统和系统资源的信息可以在页面底部找到 200

4771 暂停防护每当您使用系统托盘图标暂时禁用病毒和间谍软件防护时暂停防护对话框就会出现这将在选定时段内禁用与恶意软件相关的防护若要永久禁用防护则必须使用高级设置请谨慎使用此选项因为禁用保护可能会使系统暴露在威胁之下 478 右键菜单右键单击对象文件后就会显示右键菜单该菜单将列出您可以在对象上执行的所有操作可以将 ESET Mail

201 4771 暂停防护每当您使用系统托盘图标暂时禁用病毒和间谍软件防护时暂停防护对话框就会出现这将在选定时段内禁用与恶意软件相关的防护若要永久禁用防护则必须使用高级设置请谨慎使用此选项因为禁用保护可能会使系统暴露在威胁之下 478 右键菜单右键单击对象文件后就会显示右键菜单该菜单将列出您可以在对象上执行的所有操作可以将 ESET Mail Security 控件元素集成到右键菜单中此功能的设置选项在用户界面 > 用户界面元素下的高级设置树中提供集成到右键菜单 - 将 ESET Mail Security 控件元素集成到右键菜单中 48 恢复此部分中的所有设置将模块设置恢复为 ESET 定义的默认设置请单击恢复为默认值后已做的所有更改都将丢失恢复表格内容 - 当启用时已手动或自动添加的规则任务或配置文件将丢失 201

202 49 恢复为默认设置对于所有模块所有程序设置将重置为其在全新安装后会具有的状态 410 计划任务计划任务用于计划以下任务病毒库更新扫描任务系统启动文件检查以及日志维护您可以直接从主计划任务窗口中添加或删除任务单击底部的添加任务或删除在计划任务窗口中右键单击任意位置可执行以下操作显示详细信息立即执行任务添加新任务和删除现有任务使用每个条目开头的复选框来启用停用任务默认情况下计划任务中显示以下计划任务日志维护定期自动更新拨号连接后自动更新用户登录后自动更新自动启动文件检查用户登录后自动启动文件检查成功更新病毒库后自动开始首次扫描要编辑现有计划任务包括默认和用户定义的的配置请右键单击任务并单击编辑或选择要修改的任务并单击编辑按钮添加新任务 1 单击窗口底部的添加任务 2 输入任务的名称 3 选择所需的任务类型 4 如果要激活任务您可以之后通过选中取消选中计划任务列表中的复选框来执行此操作请打开已启用开关 5 单击下一个然后选择其中一个计时选项并指定何时再次执行它 6 在计划任务视图中双击任务时查看计划任务或右键单击计划任务并选择显示任务详细信息进行查看 202

203 4101 任务详细信息输入任务名称然后从下拉菜单中选择所需的任务类型运行外部应用程序 - 计划外部应用程序的执行日志维护 - 日志文件中仍会包含已删除记录的残余信息此任务定期优化日志文件中的记录以提高工作效率系统启动文件检查 - 检查在系统启动或登录时允许运行的文件创建计算机状态快照 - 创建 ESET SysInspector 计算机快照收集有关系统组件例如驱动程序应用程序的详细信息并评估每个组件的风险级别手动计算机扫描 - 执行计算机上文件和文件夹的计算机扫描首次扫描 - 默认情况下在安装完成或重新启动 20 分钟后将作为低优先级任务执行计算机扫描更新 - 计划一个更新任务以执行病毒库和程序模块的更新数据库扫描 - 允许您计划数据库扫描并选择将扫描的项这实质上是手动数据库扫描如果您已启用邮箱数据库防护仍可以计划该任务但错误消息数据库扫描扫描因错误而中断将显示在主 GUI 的扫描部分为了防止出现这种情况确保在计划运行数据库扫描期间邮箱数据库防护处于禁用状态发送邮件隔离报告 - 计划要通过电子邮件发送的邮件隔离报告后台扫描 - 让 Exchange Server 可以运行数据库后台扫描如果需要 Hyper-V 扫描 - 计划 Hyper-V 内的虚拟磁盘扫描如果您想要在创建任务后停用它请单击已启用旁边的开关您可以通过使用计划任务视图中的复选框来稍后激活任务单击下一步继续执行下一个步骤 4102 任务计时一次指定一次性任务执行的日期和时间 4103 任务计时当您想要计划运行任务时请选择以下要定义的计时选项之一一次 - 任务将仅在指定日期和时间执行一次重复 - 任务将以指定的时间间隔执行以分钟为单位每天 - 任务将在每天指定时间重复运行每周 - 任务将在每周所选日期和时间运行一次或多次由事件触发 - 任务将在发生指定事件后执行如果靠电池供电时跳过任务已启用则在任务应该启动时系统正靠电池供电将不会启动该任务比如这适用于依赖 UPS 运行的计算机单击下一步继续执行下一个步骤 4104 任务计时每天指定每天执行任务的时间 203

204 4105 任务计时每周任务将在所选日期和时间运行 4106 任务计时由事件触发任务可能由以下任一事件触发每次计算机启动每天计算机第一次启动时拨号连接至 Internet/VPN 成功更新病毒库成功更新程序组件用户登录威胁检测计划由事件触发任务时可以指定两次任务完成之间的最小间隔例如如果您每天多次登录计算机可以选择 24 小时这样仅在当天首次登录时执行任务然后在第二天再执行任务 4107 任务详细信息运行应用程序使用此任务可计划外部应用程序的执行可执行文件 - 从目录树中选择可执行文件单击浏览 () 或手动输入路径工作文件夹 - 定义外部应用程序的工作目录选定可执行文件的所有临时文件将在此目录中创建参数 - 应用程序的命令行参数可选单击完成创建任务或应用更改如果已修改现有计划任务 4108 任务详细信息发送邮件隔离报告发送邮件隔离报告任务通过电子邮件发送邮件隔离报告发送邮件隔离报告任务仅在使用本地隔离时可用您将无法通过隔离邮箱和 MS Exchange 隔离使用它发件人地址 - 指定显示为邮件隔离报告的发件人的电子邮件地址报告中记录的最大计数 - 可以限制每个报告的条目数默认计数设置为 50 Web URL - 此 URL 将包含在邮件隔离报告中以便收件人只需单击该链接即可访问邮件隔离的 Web 界面收件人 - 用于选择接收邮件隔离报告的用户单击编辑以选择适用于特定收件人的邮箱单击完成以创建计划任务邮件隔离报告仅当存在隔离的邮件时发送如果隔离区为空则将不发送报告 4109 跳过的任务如果任务无法在预定义的时间运行可以指定其执行时间在下一个计划时间 - 任务将在指定时间执行如 24 小时后尽快 - 任务将尽快执行当阻止任务执行的操作不再有效时如果自上次运行时间之后经过的时间超过指定值则立即跳过任务 - 自上次运行时间之后经过的时间 (小时) - 选择了此选项后任务将在指定时间间隔以小时为单位后始终重复执行 204

205 41010 计划任务概述当您双击计划任务视图中的任务或者右键单击计划任务并选择显示任务详细信息时该对话框窗口会显示有关计划任务的详细信息计划任务后台扫描此任务类型允许在后台通过 VSAPI 进行数据库扫描它实质上可让 Exchange Server 在需要时运行后台扫描扫描由 Exchange Server 本身触发这意味着由 Exchange Server 来决定是否将在允许的时间内执行扫描我们建议您允许此任务在高峰时段以外此时 Exchange Server 不太忙碌运行例如在夜间这是因为数据库后台扫描可能会对系统施加一定量的负载此外时间范围不应与可能在 Exchange Server 上运行的任何备份有冲突以防止出现性能或可用性问题必须启用邮箱数据库防护才能使计划任务运行此类防护仅适用于以邮箱服务器 Microsoft Exchange 2010 和 2007 或后端服务器 (Microsoft Exchange 2003) 角色运行的 Microsoft Exchange Server 和 2003 超时(小时) - 指定从执行此计划任务的时间开始算起允许 Exchange Server 运行数据库后台扫描多少小时一旦到达超时后将指示 Exchange 停止其后台扫描 205

41012 更新配置文件如果您希望从两个更新服务器更新程序则有必要创建两个不同的更新配置文件如果第一个更新配置文件无法下载更新文件则程序会自动切换到备用更新配置文件这适用于一般从本地局域网更新服务器进行更新但其所有者经常通过其他网络连接到 Internet 的设备例如笔记本电脑因此如果第一个配置文件出现故障第二个配置文件将从 ESET

206 41012 更新配置文件如果您希望从两个更新服务器更新程序则有必要创建两个不同的更新配置文件如果第一个更新配置文件无法下载更新文件则程序会自动切换到备用更新配置文件这适用于一般从本地局域网更新服务器进行更新但其所有者经常通过其他网络连接到 Internet 的设备例如笔记本电脑因此如果第一个配置文件出现故障第二个配置文件将从 ESET 的更新服务器上自动下载更新文件在更新一章中您可以找到有关更新配置文件的更多信息 411 隔离隔离文件从隔离区恢复提交隔离区中的文件 4111 隔离文件 ESET Mail Security 自动隔离被删除的文件如果您尚未在警报窗口中禁用该选项如果需要您可以手动隔离任何可疑文件方法是单击隔离这种情况下程序不会将原文件从其初始位置删除也可以使用右键菜单达到此目的在隔离区窗口中右键单击然后选择隔离 4112 从隔离区恢复隔离的文件还可以恢复到其初始位置若要恢复隔离的文件请在隔离区窗口中右键单击该文件然后在右键菜单中选择恢复如果文件被标记为潜在的不受欢迎应用程序则恢复并且不扫描也将可用右键菜单还包含恢复至选项使用此选项可将文件恢复到其被删除时所在位置之外的其他位置从隔离区中删除 - 右键单击给定项并选择从隔离区中删除或选择想要删除的项然后在键盘上按 Delete 键还可以选择多个项然后将它们一起删除如果程序错误地隔离了无害文件请在文件恢复后将其移出扫描队列并发送给 ESET 客户服务部门 206

展开

I

机电一级注册建造师继续教育培训广东培训点网上报名操作使用手册 (2013 年 1 月, 第一版 ) 第一章个人注册与个人信息管理 1. 个人注册 ( 请每人只申请一个注册号, 如果单位批量报班单位帮申请注册, 不需个人再注册 ) 首次报班,