ESET File Security

Transcription

1 ESET FILE SECURITY 針對MICROSOFT WINDOWS SERVER 安裝手冊與使用指南 Microsoft Windows Server 2003 / 2003 R2 / 2008 / 2008 R2 / 2012 / 2012 R2 / 2016 按一下這裡以顯示此文件的線上說明版本

2 ESET FILE SECURITY Copyright 2018 by ESET, spol. s r.o. ESET Fi l e Securi ty 是由 ESET, s pol. s r.o. 開發的產品 如需更多資訊 請造訪 et.com 保留所有權利 本文件的任何部分在未獲得作者的書面同意下 不得以 任何形式或利用任何方式進行重製 儲存在可擷取的系統或進行傳輸 包括電子 機械 影印 錄音或掃描等方式 ESET, s pol. s r.o. 保留變更所述應用程式軟體的權利 恕不另行通知 客戶關懷 et.com/s upport 修訂 2018/4/18

3 目錄 1. 簡介 新增功能 說明 頁 面 系統需求 防護類型 使用者介面 已透過 ESET Remote Administrator 管理 5.1 覆寫模式 6. 安裝 ESET File Sec urity...18 安裝步驟 命令列安裝 安 裝 在 叢 集 環 境 產品 啟 動 6.3 終 端 機 伺 服 器 啟 動 ESET SysInspec tor...71 使用者介面和應用 程式使用...72 程式控制項...72 在 ESET SysInspec tor 中 瀏 覽...73 鍵盤快捷鍵...74 比較...75 命令列參數...76 服 務 腳本...77 產生 服 務 腳本...77 服 務 腳本 的 結 構...77 執 行 服 務 腳本...80 常見問題...80 ESET SysInspec...81 tor 是 ESET File Sec urity 的 一 部SysResc 份 ESET ue Liv e...81 排程器...81 排 程 器 -新 增 工 作...82 提 交 樣 本 以 供 分...83 析 可疑檔案...84 可疑網站...84 誤判檔案...84 誤判網站...84 其他...84 隔離區...85 ESET AV Remov...25 er 7.7 說明 及 支 援 升 級 為 較 新 版 本 使 用 說明 透 過 ERA 升 級 如 何 更 新 ESET File Sec urity 透 過 ESET 叢 集 升級 如 何 啟 動 ESET File Sec urity 如何在排程器中建 立新的工作 初學者手冊 如何從您的伺服器 移除病毒 如何排程掃描工作 (每 隔 24 小 時 ) 監 視 提 交 支 援 要 求 設定防護 ESET 專 用 清 除...89 程式 7.2 防 護 記 錄 檔 案 關 於 ESET File...89 Sec urity 7.3 掃 描 產品 啟 動 Hyper-V 掃 描 註冊 安 全 管 理 員 啟 動 更 新 啟 動 失 敗 設 定 病 毒 資 料 庫...42 更新 授 權 配 置 Proxy 伺 服...45 器進行更新 啟動進度 設 定 啟動成功 伺服器 電腦 使用 ESET...92 File Security 工具 匯 入 及 匯 出 設 定 病 毒 防 護 偵 測 到入侵 工 具 程 序 排除 執 行 中 的 處 理 程...51 序 自動排除 即時監控 共 用 本 機 快 取 時段選擇 即 時 檔 案 系 統 防...95 護 防護統計 排 除 叢集 新 增 或 編 輯 排 除 叢 集 精 靈 -第 1 頁 排除格式 叢 集 精 靈 -第 2 頁 T hreatsense 參 數 叢 集 精 靈 -第 3 頁 從 掃 描 中 排 除 的 檔案副檔名 叢 集 精 靈 -第 4 頁 其 他 T hreatsense 參數 ESET Shell 清 除 層 級 使用 何 時 修 改 即 時 防 護配置 命令 檢 查 即 時 防 護 批 次 檔 案 /腳本 即 時 防 護 無 法 運 作時怎麼辦 ESET SysInspec tor 提 交 建立電腦狀態快照 統計 ESET SysInspec...71 tor 可疑檔案 ESET SysInspec...71 tor 簡 介 6.4

4 指定電腦掃描與 Hyper-V 掃 描 自 訂 掃 描 與 Hyper-V 掃描啟動器 掃描進度 掃 描 防 護 記 錄 設 定 檔 管 理 程 式 掃描目標 暫 停 已 排 程 的 掃 描 閒 置 狀 態 掃 描 啟動掃描 自 動 啟 動 檔 案 檢 查 可 移 除 的 媒 體 文件防護 HIPS HIPS 規 則 HIPS 規 則 設 定 進階設定 一 律 允 許 載 入 驅 動程式 更新 防 護 記 錄 檔 案 防 護 記 錄 過 濾 在 防 護 記 錄 中 尋 找 Proxy 伺 服 器 電 子 郵 件 通 知 訊息格式 簡報模式 診斷 客 戶服 務 叢集 使 用 者 介 面 警 告 及 通 知 存取設定 密碼 密碼設定 說明 ESET Shell 停 用 終 端 機 伺 服 器 的 GUI 已 停 用 訊 息 和 狀態 確認訊息 應 用 程 式 狀 態 設 定 系 統 匣 圖 示 暫停防護 內容 功 能 表 更新回復 更新模式 HT T P proxy 以 下 列 身 分 連 接到區域網路 映像 從映像更新 映像檔案 還 原 此 區 段 中 的所有設定 疑 難 排 解 映 像 更 新問題 8.8 還 原 為 預 設 值 W eb 和 電 子 郵 件 8.9 排 程 器 通 訊 協 定 過 濾 工作細節 排 除 的 應 用 程 式 工 作 時 間 -一 次 排 除 的 IP 位 址 工作時間 W eb 和 電 子 郵 件 用 戶端 工 作 時 間 -每 日 SSL/ T LS 工 作 時 間 -每 星 期 加 密 的 SSL 通 訊 工 作 時 間 -事 件 觸發 已 知 的 憑 證 清 單 工 作 細 節 -執 行 應用程式 電 子 郵 件 用 戶端 防護 略 過 的 工 作 電 子 郵 件 通 訊 協 定 已排程的工作概 要 警告及通知 更 新 設 定 檔 MS Outlook 工 具 列 隔 離 區 Outlook Express 及 W indows Mail 工 具 列 隔 離 檔案 確 認 對 話 方 塊 從 隔 離 區 還 原 重 新 掃 描 郵 件 從 隔 離 區 提 交 檔 案 W eb 存 取 防 護 基本 作 業 系 統 更 新 URL 位 址 管 理 位址清單 字彙 建立新清單 入 侵 類 型 網 路 釣 魚 防 護 病毒 裝 置 控 制 蠕蟲 裝置控制規則編 輯器 特洛伊木馬程式 新增裝置控制規 則 Rootk it 偵 測 到 的 裝 置 廣告程式 裝置群組 間諜程式 殭屍網路 8.5 工 具 勒索軟體 ESET Liv egrid 壓縮器 排除過濾 惡意探索封鎖程 式 Mic rosoft W indows 更新 進 階 記 憶 體 掃 描器 ESET CMD 潛 在 不 安 全 的 應用程式 W MI 提 供 者 潛 在 不 需 要 的 應用程式 提供的資料 存 取 提 供 的 資 料 ERA 掃 描 目 標 電子郵件 廣告...174

5 目錄 惡作劇 網路釣魚

6 1. 簡介 ESET File Security 是一套整合性的解決方案 專為 Microsoft Windows Server 環境而設計 對於各種類型的惡意 軟體攻擊提供有效且強大的防護 ESET File Security 提供兩種類型的防護 病毒及間諜程式防護 ESET File Security 的一些主要功能包括 ESET 叢集 - ESET 伺服器產品可彼此互相通訊以及交換資料 例如配置和通知 以及同步化產品執行個體群組 中正確作業所需的資料 它可以為整個叢集的產品提供相同配置 ESET File Security 可支援 Windows 容錯移 轉叢集 和 網路負載平衡 (NLB) 叢集 此外 您不需要特定的 Windows 叢集就可以手動新增 ESET 叢集成員 ESET 叢集可在網域與工作群組環境中運作 儲存裝置掃描 - 掃描本機伺服器上的所有共用檔案 這可方便您選擇僅掃描儲存在檔案伺服器上的使用者資 料 自動排除 - 自動偵測並排除重要的應用程式和伺服器檔案 使伺服器的運作更加順暢並提升效能 eshell (ESET Shell)- 一種命令列控制介面 為進階的使用者和管理員提供更完整的選項來管理 ESET 伺服器產 品 eshell 目前提供改良的 2.0 版 自我防護 -防止 ESET 安全性解決方案遭修改或停用 有效的疑難排解 -內建的工具可解決各種問題 ESET SysInspector 為系統提供診斷 ESET SysRescue Live 則建立 可用於開機的救援 CD 或 USB ESET File Security 支援 大部分的 Microsoft Windows Server 和單機版和叢集環境版本 使用 ESET Remote Administrator 協助遠端管理大型網路中的 ESET File Security 1.1 新增功能 ESET File Security 引進以下的新功能 1.2 叢集支援 程序排除 (使用第三方軟體有較好的相容性) GUI 增強功能 規則型過濾掃描 (能夠定義檔案的規則並執行指定掃描的特定表單) 網路釣魚防護 虛擬環境最佳化 Hyper-V 掃描 - 是一項新科技 可讓您掃描 Microsoft Hyper-V Server 上的虛擬機器 (VM) 磁碟 無須在特定 VM 上安裝任何 代理程式 說明頁面 本指南可協助您充分利用 ESET File Security 的功能 若要瞭解有關程式中任何視窗的更多資訊 請在指定的開 啟視窗中按下鍵盤上的 F1 鍵 即會顯示與目前檢視視窗相關的說明頁面 為了維持一致性並協助避免造成混亂 本指南中所使用的術語都是根據 ESET File Security 參數名稱 我們也使 用一組統一的符號 來強調特別關注或深具意義的主題 注意 注意 只是簡短的觀察 雖然您可以忽略它 但 注意 可以提供重要資訊 例如特定的功能或是一些相關主 題的連結 重要 這需要您的注意 且不建議略過它 重要告示會提供非重大但卻重要的資訊 警告 重大資訊 您需要多加注意 放置警告是要特別防止您犯下可能造成損害的錯誤 請閱讀並了解位於警告括 弧內的文字 因為它是有關高度敏感的系統設定或是其他風險 6

7 範例 此為協助您瞭解如何使用特定功能的使用方案或實際範例 慣例 代表意義 粗體 介面項目的名稱 例如方塊和選項按鈕 斜體 是您提供資訊的版面配置區 例如 檔案名稱或路徑代表您輸入實際路徑或檔案名稱 Courier New 代碼範例或指令 超連結 提供迅速輕鬆地存取交互參照主題或外部網路位置 超連結會以藍色字顯示 且會加底線 %ProgramFiles% 儲存 Windows 或其他安裝程式的 Windows 系統目錄 本指南的主題分散在數個章節和段落中 您可以瀏覽說明頁面的 [內容] 找到相關資訊 或者 您也可以使用 [索引] 以依關鍵字瀏覽或使用全文 [搜尋] ESET File Security 可讓您依關鍵字搜尋主題 或者輸入單字或片語搜尋使用者指南中的內容 這兩種方法之間的 不同之處在於 關鍵字可能與文字中不包含該特定關鍵字的說明頁面邏輯相關 依單字或片語搜尋會搜尋所有 頁面的內容 而且僅會顯示實際文字中包含所搜尋單字或片語的頁面 您可以針對說明中的特定主題 張貼評分和/ 或提供意見 請按一下 [此資訊對您有幫助嗎 ] 連結或對此文 章進行評分 有幫助/沒幫助 (若是 ESET 知識庫 則是位於說明頁面下方) 7

8 2. 系統需求 支援的作業系統 Microsoft Windows Server 2003 SP2 (x86 及 x64) Microsoft Windows Server 2003 R2 SP2 (x86 及 x64) Microsoft Windows Server 2008 (x86 及 x64) Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2016 儲存裝置 Small Business 及 MultiPoint 伺服器 Microsoft Windows Storage Server 2008 R2 Essentials SP1 Microsoft Windows Storage Server 2012 Microsoft Windows Storage Server 2012 R2 Microsoft Windows Storage Server 2016 Microsoft Windows Small Business Server 2003 (x86) Microsoft Windows Small Business Server 2003 R2 (x86) Microsoft Windows Small Business Server 2008 (x64) Microsoft Windows Small Business Server 2011 (x64) Microsoft Windows Server 2012 Essentials Microsoft Windows Server 2012 R2 Essentials Microsoft Windows Server 2016 Essentials Microsoft Windows MultiPoint Server 2010 Microsoft Windows MultiPoint Server 2011 Microsoft Windows MultiPoint Server 2012 支援的 Hyper-V 角色主機作業系統 Microsoft Windows Server 2008 R2 - 虛擬機器只有在離線時才能進行掃描 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2016 硬體需求須視所用的作業系統版本而定 建議您閱讀 Microsoft Windows Server 產品文件 以瞭解硬體需求的詳 細資訊 注意 我們強烈建議您安裝 Microsoft 伺服器作業系統及伺服器應用程式最新的 Service Pack 然後再安裝 ESET 安全 性產品 我們也建議您盡可能安裝最新的 Windows 更新與修正程式 最低硬體需求 8 元件 需求 處理器 Intel 或 AMD 單核心 x86 或 x64 記憶體 256 MB 的可用記憶體 硬碟 700 MB 的可用磁碟空間 螢幕解析度 800 x 600 像素或更高

9 3. 防護類型 有兩種類型的防護 病毒防護 間諜程式防護 病毒及間諜程式防護是 ESET File Security 產品的其中一項基本功能 該防護可藉由控制檔案 電子郵件及網際網 路通訊來防止惡意系統攻擊 如果偵測到威脅 防毒 模組可透過封鎖 接著清除 刪除或將其移至隔離區來消 滅它 9

10 4. 使用者介面 ESET File Security 具有直覺化的圖形使用者介面 (GUI) 可讓使用者輕鬆地存取主要的程式功能 ESET File Security 的主要程式視窗分為兩個主要區段 右側的主要視窗顯示對應從左側的主要功能表中所選取選項的資 訊 主要功能表的不同區段如下所述 監控 - 提供與 ESET File Security 的防護狀態 授權有效性 病毒資料庫更新的相關資訊 以及基本的統計和系 統資訊 防護記錄檔案 - 包含所有已發生之重要程式事件的相關資訊 這些檔案會針對已偵測的威脅和其他安全性相 關事件提供概觀 掃描 - 可讓您配置及啟動 儲存裝置掃描 智慧型掃描 自訂掃描 或 可移除的媒體掃描 您也可以重 複上次執行的掃描 更新 - 提供與病毒資料庫有關的資訊 並通知您是否有可用的更新 您也可以從此區段執行產品啟動 設定 - 調整您伺服器和電腦的安全性設定 工具 - 提供與您的系統防護有關的其他資訊 協助您管理安全性的其他工具 工具區段含有下列項目 執行中 的處理程序 即時監控 防護統計 叢集 ESET Shell ESET SysInspector 和ESET SysRescue Live 以建立救援 CD 和 USB 以及排程器 您也可以提交樣本以供分析並檢查您的隔離區 說明及支援 - 可存取說明頁面 ESET 知識庫和其他支援工具 同時提供可開啟客戶服務支援要求以及產品啟動 相關資訊的連結 10

11 除了主 GUI 外 您還可以按下 F5 鍵 從程式當中的任何位置存取 [進階設定] 視窗 您可以在 [進階設定] 視窗中 根據自身需求來配置設定和選項 左邊的功能表包含下列類別 病毒 - 啟用或停用潛在不需要之不安全且可疑的應用程式偵測 指定排除 即時檔案系統防護 指定電腦掃 描和 Hyper-V 掃描等 更新 - 配置設定檔的清單 建立更新檔案的快照 更新來源資訊 (例如所使用的更新伺服器 以及這些伺服器 的驗證資料) Web 和電子郵件 - 允許您配置電子郵件用戶端防護 通訊協定過濾 Web 存取防護等 裝置控制 - 設定裝置控制規則和群組 工具 - 允許您自訂工具 例如 ESET LiveGrid 防護記錄檔案 Proxy 伺服器 叢集等 使用者介面 - 配置程式圖形使用者介面 (GUI) 的行為 狀態 授權資訊等 當您在左邊的功能表中按一下項目 (類別或子類別) 時 右邊索引標籤會顯示該項目的相關設定 11

12 5. 已透過 ESET Remote Administrator 管理 ESET Remote Administrator (ERA) 是一個應用程式 允許您從一個中央位置的網路環境管理 ESET 產品 ESET Remote Administrator 工作管理系統允許您在遠端電腦安裝 ESET 安全性解決方案並對新問題和威脅快速作出回 應 ESET Remote Administrator 本身不提供保護以防範惡意程式碼 該功能由每個用戶端上安裝的 ESET 安全性 解決方案所提供 ESET 安全性解決方案支援包含多種平台類型的網路 您的網路可以包含目前的 Microsoft Linux Mac OS X 和行 動作業系統的組合 ESET Remote Administrator Server - ERA 伺服器可以安裝於 Windows 和 Linux 伺服器上 並也可做為虛擬配備 使用 它會處理與代理程式的通訊 以及收集並儲存應用程式資料 ERA Web Console 是從 ERA 伺服器顯示資料的 Web 使用者介面 能讓您管理環境中的 ESET 安全性解決方案 您可以使用 Web 瀏覽器存取 Web Console 它會顯示您網路上用戶端狀態的概觀 並可以從遠端將 ESET 解決 方案部署至未受管理的電腦 如果您決定讓 Web 伺服器可從網際網路存取 則幾乎可從任何具有網際網路連 線的裝置使用 ESET Remote Administrator ERA 代理程式 - ESET Remote Administrator 代理程式可提升 ERA 伺服器和用戶端電腦之間的通訊 您必須在任 何用戶端電腦上安裝代理程式 才能建立該電腦和 ERA 伺服器之間的通訊 ERA 代理程式位於用戶端電腦 能 儲存多種安全情況 所以可以使對新威脅的反應時間大幅縮短 您可以使用 ERA Web Console 將 ERA 代理程 式部署至未受管理 而已透過您 Active Directory 或 ESET RD Sensor 辨識的電腦 注意 如需有關 ERA 的詳細資訊 請參閱ESET Remote Administrator 線上說明 線上說明劃分為三個部分 安裝/ 升 級 管理和 VA 部署 您可以使用檔頭瀏覽標籤切換這些區段 12

13 5.1 覆寫模式 如果您將 ESET Remote Administrator 原則套用至 ESET File Security 您將會看到鎖定圖示 頁面上看到啟用/ 停用開關 也不是 [進階設定] 視窗中鎖定圖示旁邊的開關 而不是在設定 通常 無法修改透過 ESET Remote Administrator 原則配置的設定 覆寫模式可讓您暫時解除鎖定這些設定 然 而 您必須使用 ESET Remote Administrator 原則啟用 [覆寫模式] 13

14 登入至 ERA Web Console 瀏覽至 [管理員] > [原則] 選取並編輯套用至 ESET File Security 的現有原則 或建立一 個新原則 在 [設定] 中 按一下 [覆寫模式] 將其啟用並配置剩餘的設定 包含驗證類型 ([Active directory 使用 者] 或 [密碼]) 14

15 一旦修改原則 或新原則已套用至 ESET File Security [覆寫原則] 按鈕將會顯示在 [進階設定] 視窗中 按一下 [覆寫原則] 按鈕 設定持續時間並按一下 [套用] 15

16 若您已選取 [密碼] 為驗證類型 請輸入原則來覆寫密碼 一旦覆寫模式到期 您的任何配置變更將會還原至原始 ESET Remote Administrator 原則設定 您會在覆寫到期 前看到通知 您可以在覆寫模式於監視頁面或在 [進階設定] 視窗中到期前 隨時結束覆寫模式 16

17 6. 安裝 購買 ESET File Security 之後 即可從 ESET 的網站 ( 下載作為.msi 套件的安裝程式 請注意 您必須使用 內建管理員 帳戶或網域管理員帳戶執行安裝程式 (已停用本機 內建管理員 帳戶情況下) 任何其他使用者 即使是管理員群組的成員 也沒有足夠的存取權限 因此 您需要使用 內建管理員 帳戶 否 則您無法在任何其他本機或網域管理員以外的使用者帳戶下成功完成安裝 執行安裝程式有兩種方式 您可以使用管理員帳戶認證從本機登入並輕鬆執行安裝程式 您可以使用另一個使用者的身份執行命令 若要這樣做 請開啟系統管理命令提示字元並執行.msi 檔案 (例 如 msiexec /iefsw_nt64_enu.msi 而您需要取代efsw_nt64_ENU.msi 的檔案名稱需與您已下載的 msi 安裝程式 完全相同) 啟動安裝程式並接受 使用者授權合約 (EULA) 後 安裝精靈將引導您進行設定 如果您選擇不接受 授權合約 中的條款 精靈將不會繼續進行 重要 如果可能 強烈建議您將 ESET File Security 安裝在全新安裝及配置的作業系統上 如果您需要在現有的系統 上安裝 我們推薦您移除安裝 ESET File Security 版本 重新啟動伺服器然後安裝新的 ESET File Security 使用精靈有三種可用的安裝類型 完整 此為建議的安裝類型 這將會安裝所有 ESET File Security 的功能 您可以選取安裝 ESET Security 的位置 但我們 建議您使用預設的值 核心 此安裝類型適用於 Windows Server Core 版本 安裝步驟與完整安裝相同 但僅會選擇安裝核心功能和指令列使 用者介面 雖然核心安裝主要使用在 Windows Server Core 您仍可以安裝在標準 Windows Server 上 使用核心 安裝方法安裝的 ESET 解決方案不會有任何 GUI 這代表使用 ESET File Security 時 您僅能使用命令列使用者介 面 如要透過指令列執行核心安裝 請使用以下範例指令 msiexec /qn /i efsw_nt64_enu.msi /l inst.log ADDLOCAL=HIPS,_Base,SERVER,_FeaturesCore,WMIProvider,Scan,Updat 自訂 自訂安裝可讓您選取安裝在系統上的 ESET File Security 功能 開始安裝時 產品模組和功能清單將會顯示 除了精靈安裝 您可以選擇透過命令列以無訊息方式安裝 ESET File Security 此安裝類型不需要任何互動 因此 亦稱為自動安裝 無訊息 /自動安裝 執行以下命令以透過命令列完成安裝 msiexec /i <packagename> /qn /l*xv msi.log 附註 如果您之前曾在系統上使用其他第三方防毒軟體 我們建議您將其完全解除安裝後再安裝 ESET File Security 您可以使用 ESET AV Remover 以協助移除第三方軟體 17

18 6.1 ESET File Security 安裝步驟 遵循以下步驟 使用 設定精靈 安裝 ESET File Security 下一個步驟便會顯示 使用者授權合約 請閱讀並按一下 [接受] 以認知您已接受使用者授權合約 在接受條款 之後按一下 [下一步] 便能繼續安裝程序 選取其中一個可用的安裝類型 可用的安裝類型將視您的作業系統而定 Windows Server R R Windows Small Business Server 2003 與 2003 R2 Windows Server 2012 Essentials 2012 R2 Essentials 與 2016 Essentials 完整 - 安裝所有 ESET File Security 功能 核心 - 此安裝類型適用於 Windows Server Core 此程序類似於完整安裝 但只會安裝核心元件 若使用此 方法 ESET File Security 將不會有 GUI 如有需要 您也可以在標準 Windows Server 上執行核心安裝 如需 核心安裝的詳細資料 請按一下這裡 自訂 - 選取要在系統上安裝的 ESET File Security 功能 Windows Server R2 Windows Small Business Server 2008 與 2011 一般 - 安裝建議的 ESET File Security 功能 核心 - 此安裝類型適用於 Windows Server Core 此程序類似於完整安裝 但只會安裝核心元件 若使用此 方法 ESET File Security 將不會有 GUI 如有需要 您也可以在標準 Windows Server 上執行核心安裝 如需 核心安裝的詳細資料 請按一下這裡 自訂 - 選取要在系統上安裝的 ESET File Security 功能 18

19 完整安裝 也稱為完整安裝 這將安裝所有的 ESET File Security 元件 系統將提示您選取安裝位置 依預設 程式會安裝在 下列位置 C:\Program Files\ESET\ESET File Security 按一下 [瀏覽] 變更此位置 (不建議) 一般安裝 選擇此安裝類型以安裝推薦的 ESET File Security 功能 注意 在 Windows Server 2008 Windows Server 2008 R2 Small Business Server 2008 和 Small Business Server 2011 依 預設 ([一般]安裝) 系統會停用 [Web 和電子郵件] 元件安裝 如果您希望安裝此元件 請選擇 [自訂] 安裝類 型 核心安裝 此模式將會安裝核心功能及命令列使用者介面 建議您在 Windows Server Core 上使用此方法 19

20 自訂安裝 可讓您選擇要安裝的功能 此模式在您僅要自訂 ESET File Security 中需要的元件時相當實用 您可以在現有的安裝中新增或移除元件 若要這樣做 您可以執行在初始安裝期間使用的.msi 安裝程式套件 或移至 [程式和功能] (可從 Windows 控制台存取) 用滑鼠右鍵按一下 ESET File Security 然後選取 [變更] 遵循 以下步驟新增或移除元件 元件修改 (新增/ 移除) 程序 修復和移除 在 3 種選項當中 您可以 [修改] 已安裝的元件 [修復] 您安裝的 ESET File Security 或完全地 [移除] (解除安裝) 20

21 如果您選擇 [修改] 系統會顯示所有可用程式元件的清單 選擇您想要新增或移除的元件 您可以同時新增/ 移 除多個元件 按一下元件然後從下拉式功能表選取需要的選項 在選取選項之後 按一下 [修改] 以執行修改 附註 您可以隨時執行安裝程式以新增新的元件 修改不需要重新啟動伺服器 命 令 列 安 裝 下列設定設計僅能與使用者介面的 [降低] [基本] 及 [無] 等級搭配使用 對於用於適當指令行切換的 msiexec 版本 請參閱文件 支援的參數 APPDIR=<path> 路徑 -有效的目錄路徑 應用程式安裝目錄 例如 emsx_nt64_enu.msi /qn APPDIR=C:\ESET\ ADDLOCAL=DocumentProtection APPDATADIR=<path> 路徑 -有效的目錄路徑 應用程式資料安裝目錄 MODULEDIR=<path> 路徑 -有效的目錄路徑 模組安裝目錄 ADDEXCLUDE=<list> ADDEXCLUDE 清單是不要安裝之所有功能名稱的逗號區隔清單 是過時 REMOVE 的取代項目 選取不要安裝的功能時 整個路徑 (例如 其所有子功能) 且相關不可見的功能必須明確包含在清單中 例如 emsx_nt64_enu.msi /qn ADDEXCLUDE=<list> 附註 ADDEXCLUDE 不得與 ADDLOCAL 搭配使用 ADDLOCAL=<list> 21

22 元件安裝 -要安裝在本機的非強制功能清單 與 ESET.msi 套件搭配使用 emsx_nt64_enu.msi /qn ADDLOCAL=<list> 如需 ADDLOCAL 內容的詳細資訊 請參閱 29.aspx ADDLOCAL 清單是將安裝之所有功能的逗號區隔清單 選取要安裝的功能時 清單必須明確包含完整路徑 (所有上層功能) 功能存在 強制 - 一律會安裝此功能 選用 - 可取消選取安裝的功能 不可見 - 其他功能適當運作的強制性邏輯功能 ESET File Security 功能清單 重要 所有功能名稱都會區分大小寫 例如 RealtimeProtection 不等於 REALTIMEPROTECTION 功能名稱 功能存在 SERVER 強制 RealtimeProtection 強制 Scan 強制 WMIProvider 強制 HIPS 強制 Updater 強制 eshell 強制 UpdateMirror 強制 DeviceControl 選用 DocumentProtection 選用 WebAnd 選用 ProtocolFiltering 不可見 WebAccessProtection 選用 ClientProtection 選用 MailPlugins 不可見 CLUSTER 選用 _Base _License ShellExt 選用 _FeaturesCore 22 GraphicUserInterface 選用 SysInspector 選用

23 功能名稱 功能存在 SysRescue 選用 OnlineHelp 選用 OfflineHelp 選用 EnterpriseInspector 選用 如果您希望移除下列任一個功能 則必須移除整個群組 GraphicUserInterface,ShellExt WebAnd , ClientProtection,MailPlugins,ProtocolFiltering,WebAccessProtection OnlineHelp,OfflineHelp 範例 移除 64 位元系統上的功能 (ProtocolFiltering) msiexec /i emsx_nt64_enu.msi /qn ^ /l*xv msi.log REMOVE=WebAnd , ClientProtection,MailPlugins,ProtocolFiltering,^ WebAccessProtection REINSTALL=_Base,ShellExt,HIPS,SERVER,_FeaturesCore,RealtimeProtection,^ DeviceControl,WMIProvider,Scan,Updater,DocumentProtection,CLUSTER,GraphicUserInterface,eShell,^ UpdateMirror,SysInspector,SysRescue,OnlineHelp,OfflineHelp,EnterpriseInspector 如果您希望在安裝之後自動設定 ESET File Security 則可在安裝指令內只定基本設定參數 範例 安裝 ESET File Security 並停用 ESET LiveGrid msiexec /i emsx_nt64_enu.msi /qn /l*xv msi.log CFG_LIVEGRID_ENABLED=0 所有設定內容清單 CFG_POTENTIALLYUNWANTED_ENABLED=1/0 0 - 已停用 1 - 已啟用 CFG_LIVEGRID_ENABLED=1/0 0 - 已停用 1 - 已啟用 LiveGrid FIRSTSCAN_ENABLE=1/0 0 - 停用 1 - 啟用 安裝之後排程新的 FirstScan CFG_PROXY_ENABLED=0/1 0 - 已停用 1 - 已啟用 CFG_PROXY_ADDRESS=<ip> Proxy IP 位址 CFG_PROXY_PORT=<port> Proxy 連接埠號 CFG_PROXY_USERNAME=<user> 要驗證的使用者名稱 CFG_PROXY_PASSWORD=<pass> 要驗證的密碼 23

24 6.1.2 安 裝 在 叢 集 環 境 您可在叢集環境中部署 ESET File Security (例如容錯移轉叢集) 建議您在作用中的節點上安裝 ESET File Security 之後使用 ESET File Security 的 ESET 叢集功能重新散佈安裝在被動節點上 除了安裝以外 ESET 叢集會 作為 ESET File Security 配置的複製 以確保叢集結點間正確作業所需的一致性 6.2 產品啟動 安裝完成時 系統將提示您啟動您的產品 選取其中一種可用方法來啟動 ESET File Security 請參閱 如何啟動 ESET File Security 取得更多資訊 24

25 在成功啟動 ESET File Security 之後 主程式視窗將會開啟 並於監控頁面中顯示您目前的狀態 一開始可能必須 多加留意 例如 系統可能會詢問您是否要成為 ESET LiveGrid 的成員 主程式視窗也會顯示與其他項目有關的通知 例如系統更新 (Windows 更新) 或病毒資料庫更新 當需要注意的 所有項目都已解決之後 監控狀態將會變成綠色並顯示最嚴格的防護狀態 6.3 終端機伺服器 如果您在作為終端機伺服器的 Windows Server 上安裝 ESET File Security 而且想要停用 ESET File Security GUI 以 避免每次使用者登入時即啟動 請參閱停用終端機伺服器的 GUI 以瞭解停用 GUI 的特定步驟 6.4 ESET AV Remover 若要從您的系統移除/ 解除安裝第三方防毒軟體 我們建議您使用 ESET AV Remover 若要這麼做 請遵循以下步 驟 1. 從 ESET 網站公用程式下載頁面下載 ESET AV Remover 2. 按一下 [我接受 開始搜尋] 以接受使用者授權合約並開始在您的系統中搜尋 3. 按一下 [啟動解除安裝程式] 以移除已安裝的防毒軟體 如需可使用 ESET AV Remover 移除的第三方防毒軟體清單 請參閱此知識庫文章 25

26 6.5 升級為較新版本 新推出 ESET File Security 版本將改善或修正自動程式模組更新無法解決的問題 可使用下列升級方法 手動 - 下載最新的 ESET File Security 版本 如果您想要保存配置 請從您現有的 ESET File Security 匯出設定 將 ESET File Security 解除安裝並重新啟動伺服器 使用您下載好的安裝程式執行全新安裝 匯入設定以載入您 的配置 若您擁有執行 ESET File Security 的單一伺服器 我們建議使用此流程 適用於從任何舊版本升級至 6.x 遠端 - 在大型網路環境中使用 由 ESET Remote Administrator 管理 若您擁有執行 ESET File Security 的多個伺 服器 則此方法相當實用 適用於從版本 4.x 升級至 6.x ESET 叢集精靈 - 也可用作一種升級方法 我們建議這種方法適用於具有 ESET File Security 的 2 部以上伺服器 適用於從版本 4.x 升級至 6.x 一旦升級完成後 您可以繼續使用 ESET 叢集並利用其功能 附註 ESET File Security 升級期間系統將需要重新啟動伺服器 附註 將 ESET File Security 升級後 建議您完成所有設定 以確定配置正確並符合您的需求 透 過 E R A 升 級 ESET Remote Administrator 可讓您升級執行舊版本 ESET File Security 的多部伺服器 此方法的優勢在於升級大量 伺服器的同時 也能確保每個 ESET File Security 的配置完全相同 (若有需求) 附註 適用於從版本 4.x 升級至 6.x 此流程包含下列階段 升級第一部伺服器 即安裝最新版本的 ESET File Security 來覆蓋現有版本 以便保留包含規則等的所有配 置 此階段將於執行 ESET File Security 的本機伺服器上執行 新升級至版本 6.x 的 ESET File Security 的要求配置 以及 ERA 中的 [轉換為原則] 該原則將稍後套用至所有 升級的伺服器 此階段會使用 ERA 以及下列階段來遠端執行 在執行舊版本 ESET File Security 的所有伺服器上執行軟體解除安裝工作 在您想要執行最新版本 ESET File Security 的所有伺服器上執行軟體解除安裝工作 針對執行最新版本 ESET File Security 的所有伺服器指派配置原則 逐步安裝流程 1. 登入至執行 ESET File Security 的其中一部伺服器 並透過降級並安裝最新版本來覆蓋現有版本的方式來進行 升級 遵循標準安裝的步驟 系統將於安裝期間保留您舊版本 ESET File Security 的所有原始配置 2. 開啟 [ERA Web Console] 從 靜態 或 動態 群組內選取用戶端電腦 然後按一下 [顯示] [詳細資訊] 26

27 3. 瀏覽至 [配置] 索引標籤 然後按一下 [要求配置] 按鈕來收集所有受管理產品的配置 取得配置將需要花費 一些時間 一旦最新配置顯示在清單中 按一下 [指定產品] 並選擇 [開啟配置] 27

28 4. 透過按一下 [轉換為原則] 按鈕來建立配置原則 輸入新原則的 [名稱] 然後按一下 [完成] 5. 瀏覽至 [管理員] > [用戶端工作] 然後選擇 [軟體解除安裝] 工作 建立解除安裝工作時 我們建議您先透過 選取核取方塊 [必要時自動重新開機] 來解除安裝 然後再重新啟動伺服器 一旦工作建立之後 新增所有 需要的目標電腦以進行解除安裝 6. 確保已從所有目標解除安裝 ESET File Security 7. 建立 [軟體安裝] 工作 以便將最新版本的 ESET File Security 安裝至所有需要的目標 8. 針對執行 ESET File Security 的所有伺服器指派配置原則 最好是指派至群組 透 過 E S E T 叢 集 升 級 建立 ESET 叢集可讓您升級具有舊版本 ESET File Security 的多部伺服器 它是 ERA 升級的替代選擇 如果您在環 境中擁有包含 ESET File Security 的 2 部以上伺服器 則我們建議使用 ESET 叢集方法 此升級方法的其他好處在 於您可以繼續使用 ESET 叢集 以便在所有成員節點上同步化 ESET File Security 配置 附註 適用於從版本 4.x 升級至 6.x 遵循以下步驟以使用此方法升級 1. 登入至執行 ESET File Security 的其中一部伺服器 並透過下載並安裝最新版本來覆蓋現有版本的方式來進行 升級 遵循標準安裝的步驟 系統將於安裝期間保留您舊版本 ESET File Security 的所有原始配置 2. 執行 ESET 叢集精靈 並新增叢集節點 (您想要升級 ESET File Security 的伺服器) 您可以在必要時新增其他尚 未執行 ESET File Security 的伺服器 (安裝將在這些伺服器上執行) 我們建議您在指定叢集名稱和安裝類型 (確保已勾選 [將授權推送到節點 但不啟動產品]) 時保留預設的設定 28

29 3. 檢視 [節點檢查記錄] 畫面 它會列出包含舊版產品的伺服器 而該產品將會重新安裝 ESET File Security 也將 在目前尚未安裝的任何新增伺服器上安裝 29

30 4. [節點安裝和叢集啟動] 畫面將顯示安裝進度 安裝成功完成時 完成結果看起來應該類似於 30

31 若您的網路或 DNS 並未正確配置 則您可能會收到表示 [無法從伺服器取得啟動 Token] 的錯誤訊息 請再次 嘗試執行 ESET 叢集精靈 這將會銷毀叢集並建立新叢集 (不含重新安裝產品) 而啟動應於此時成功完成 若問 題持續存在 請檢查您的網路和 DNS 設定 31

32 7. 初學者手冊 本章提供 ESET File Security 功能表主要部分 功能及基本設定的概觀 監視 防護記錄檔案 掃描 更新 設定 工具 說明及支援 7.1 監視 顯示於監視區段中的防護狀態會通知您電腦目前的防護層級 ESET File Security 作業的狀態摘要顯示在主要視 窗 綠色最嚴格的防護狀態表示已確保最嚴格的防護 下面狀態視窗也會顯示快速連結 讓您連結到 ESET File Security 中經常使用的功能 以及最近一次更新的資訊 32

33 正常運作的模組會標上綠色核取符號 未完全運作的模組會標上紅色驚嘆號或顯示橙色通知圖示 視窗的上半 部會顯示模組的其他相關資訊 同時還會顯示修正模組的建議解決方案 若要變更個別模組的狀態 請按一下 主要功能表中的 [設定] 然後按一下需要的模組 紅色圖示表示嚴重問題 -未確保電腦獲得最嚴格的防護 系統會顯示紅色圖示以表示以下情況 即時檔案系統防護已暫停 - 按一下 [監控] 標籤中的 [啟用即時防護] 或重新啟用主要程式視窗中的 [設定] 標 籤中的 [即時檔案系統防護] 病毒資料庫已過期 - 您在使用過期的病毒資料庫 產品尚未啟動或授權已過期 - 這是由變成紅色的 [防護] 狀態圖示所表示 授權過期後即無法更新程式 請按 照警告視窗中的指示更新您的授權 附註 如果您正在使用 ERA 管理 ESET File Security 且擁有指派給它的原則 系統將會根據原則所屬功能 鎖定 (呈 現灰色) 狀態連結 橙色圖示表示您的 ESET 產品需要注意非嚴重問題 系統會顯示橙色圖示以提示以下情況 Web 存取防護已暫停 - 按一下 [監控] 中的 [啟用 Web 存取防護] 或是在主要程式視窗的 [設定] 窗格重新啟 用 [Web 存取防護] 簡報模式已啟用 - 所有快顯視窗均已隱藏且已排程工作已暫停 您的授權即將到期 - 這是由顯示驚嘆號的防護狀態圖示所表示 您的授權到期後 程式將無法更新 [防護] 狀態圖示將變成紅色 33

34 [原則覆寫作用中] - 暫時覆寫原則所設定的配置 可能直到疑難排解完成為止 監視頁面也包含以下系統資訊 產品版本 - ESET File Security 的版本號碼 伺服器名稱 - 機器主機名稱或 FQDN 系統 - 作業系統詳細資訊 電腦 - 硬體詳細資訊 伺服器執行時間 - 顯示系統啟動與執行的時間長度 基本上會與停機時間相反 如果您無法使用建議的解決方案解決問題 請按一下 [說明及支援] 以存取說明檔案或搜尋 ESET 知識庫 如果仍 然需要協助 您可以提交 ESET 客戶服務支援要求 ESET 客戶服務 將快速回答您的問題並協助尋找解決方法 34

35 7.1.1 設 定 防 護 從您的組織安全原則觀點來說 ESET File Security 設定非常重要 未獲授權的修改可能會危害您系統的穩定性及 防護功能 若要存取 [使用者介面] 設定 請按一下主要功能表中的 [設定] 然後按一下 [進階設定] 或按鍵盤上 的 F5 按一下 [使用者介面]>[存取設定] 選取 [密碼保護設定] 然後按一下 [設定密碼] 在 [新密碼] 和 [確認密碼] 欄位中輸入密碼 然後按一下 [確定] 日後對 ESET File Security 進行任何修改 都將 會需要這個密碼 35

36 7.2 防護記錄檔案 防護記錄檔案包含所有已發生之重要程式事件的相關資訊 並提供偵測到之威脅的概觀 在系統分析 威脅偵 測及疑難排解方面 防護記錄都是一項很重要的工具 記錄作業會主動在背景中執行 不需使用者介入 系統會 依據目前的防護記錄冗贅設定來記錄資訊 您可以直接從 ESET File Security 環境檢視文字訊息及防護記錄 您 也可以使用匯出功能來保存防護記錄檔案 從主要程式視窗中按一下 [防護記錄檔案] 可存取防護記錄檔案 從下拉式功能表中選擇所需的防護記錄類 型 以下是可用的防護記錄 偵測到威脅 - 威脅防護記錄提供 ESET File Security 模組所偵測到入侵的詳細資訊 資訊包括偵測時間 入侵 的名稱 位置 以及在偵測到入侵時 所登入的使用者名稱及其執行的處理方法 按兩下任何防護記錄項目 以在個別視窗中顯示其詳細資訊 事件 - ESET File Security 執行的所有重要處理方法都會記錄在事件防護記錄中 事件防護記錄包含程式中已發 生事件及錯誤的相關資訊 此選項專門用來協助系統管理員及使用者解決問題 通常在這裡找到的資訊可協 助您找到程式中所發生問題的解決方案 電腦掃描 - 所有掃描結果都會顯示在這個視窗中 每一行均與單一電腦控制項對應 按兩下任何項目 以檢 視各個掃描的詳情 HIPS - 包含已標記要記錄之特定規則的記錄 通訊協定會顯示呼叫該作業的應用程式 結果 (是否允許或禁止 規則) 及已建立規則的名稱 [已過濾的網站] - 如果您想要檢視 Web 存取防護所封鎖的網站清單 此功能很實用 這些防護記錄會顯示開 啟特定網站連線的時間 URL 使用者與應用程式 裝置控制 - 包含連接到電腦的可移除媒體或裝置記錄 僅含有裝置控制規則的裝置將記錄於防護記錄檔案 中 如果規則不符合連接的裝置 將不會對連接的裝置建立防護記錄項目 您也可以在這裡看見詳細資訊 例 如裝置類型 序號 供應商名稱及媒體大小 (如果有) 36

37 Hyper-V scan - 包含 Hyper-V scan 掃描結果清單 按兩下任何項目 以檢視各個掃描的詳情 注意 在每個區段中 選取項目並按一下 [複製] 可將顯示的資訊複製到剪貼簿 (鍵盤快捷鍵 Ctrl + C) CTRL 和 SHIFT 鍵可用來選取多個項目 按一下切換圖示 [過濾] 開啟 [防護記錄過濾] 視窗 您可以在其中定義過濾條件 若要檢視以下的內容功能表選項 請在特定記錄上按一下滑鼠右鍵 顯示 - 顯示有關在新視窗中所選取防護記錄的詳細資訊 (與按兩下相同) 過濾相同的記錄 - 此功能會啟動防護記錄過濾並只顯示與所選記錄相同的記錄類型 過濾器... - 按一下此選項之後 會出現 [防護記錄過濾] 視窗 可讓您定義特定防護記錄項目的過濾條件 啟用過濾 - 啟動過濾設定 第一次啟動過濾 您必須定義設定 停用過濾 - 關閉過濾 (與按一下底部的切換相同) 複製 - 將選取的/ 強調的記錄資訊複製到剪貼簿 全部複製 - 複製視窗中所有記錄的資訊 刪除 - 刪除選取/ 強調的記錄 -此動作需要管理員權限才能執行 全部刪除 - 刪除視窗中的所有記錄 -此動作需要管理員權限才能執行 匯出... - 匯出選取的/ 強調的記錄資訊至 XML 檔案 全部匯出... - 將視窗中的所有資訊匯出至 XML 檔案 尋找... - 開啟 [在防護記錄中尋找] 視窗可讓您定義搜尋條件 即使在過濾功能開啟時 您也可以使用搜尋功 能找出特定記錄 尋找下一筆 - 使用先前定義的搜尋條件尋找下一筆項目 尋找前一筆 - 尋找前一筆項目 捲動防護記錄 - 將此選項保持在啟用狀態 以自動捲動舊的防護記錄 並且檢視 [防護記錄檔案] 視窗中的 作用中防護記錄 37

38 7.3 掃描 指定掃描器是 ESET File Security 防毒解決方案中的一個重要部分 它可用來針對電腦中的檔案及資料夾執行掃 描 如要確保網路的安全性 不應該僅在懷疑有感染時才執行電腦掃描 出於常規安全性考量也應定期執行掃 描 我們建議您定期執行 (例如一個月一次) 系統深入掃描以偵測未由即時檔案系統防護偵測出的病毒 資料寫 入磁碟時 若即時檔案系統防護已停用 病毒資料庫未更新 或是未在檔案初次儲存至磁碟時偵測到檔案 就可 能發生上述情況 可以使用兩種 [電腦掃描] 類型 [智慧型掃描] 可快速掃描系統 而無需進一步配置掃描參數 自訂掃描 可讓 您選取任何預先定義的掃描設定檔 以及定義特定的掃描目標 請參閱掃描進度 取得更多關於掃描進度的資訊 儲存裝置掃描 掃描所有本機伺服器上的共用資料夾 如果無法使用 [儲存裝置掃描] 表示您的伺服器上沒有共用資料夾 Hyper-V 掃描 執行 ESET File Security 的伺服器必須已安裝 Hyper-V Manager 您才會在功能表中看到此選項 Hyper-V 掃描可 掃描 Microsoft Hyper-V Server 上的虛擬機器 (VM) 磁碟 無須在特定 VM 上安裝任何 代理程式 請參閱HyperV 掃描以取得詳細資訊 (包含支援的主機作業系統和限制) 智慧型掃描 智慧型掃描可讓您快速啟動電腦掃描並清除感染的檔案 無需使用者介入 智慧型掃描的優點在於可以輕鬆執 行作業 而不需要詳細的掃描配置 智慧型掃描會檢查本機磁碟中所有的檔案 且會自動清除或刪除偵測到的 入侵 清除層級會自動設為預設值 如需更多有關清除類型的資訊 請參閱清除 自訂掃描 38

39 如果您想要指定掃描參數 (例如掃描目標及掃描方法) 則自訂掃描是可最理想的解決方案 自訂掃描的優點是 可以詳細地配置掃描參數 您可以將配置儲存為使用者定義的掃描設定檔 以利於使用相同參數重複執行掃 描 若要選取掃描目標 請選取 [電腦掃描] > [自訂掃描] 然後從 [掃描目標] 下拉式功能表中選取選項 或從樹狀 結構中選取特定目標 亦可輸入您希望納入的資料夾或檔案路徑 指定掃描目標 如果您只對掃描系統有興趣 且不使用其他清除處理方式 請選取 [掃描但不清除] 當執行掃描時 您可以按一下 [設定] > [ThreatSense 參 數] > [清除] 以從三種清除層級中選擇 注意 我們建議僅由具有使用防毒程式經驗的進階使用者使用 自訂掃描 執行電腦掃描 可移除的媒體掃描 與 智慧型掃描 類似 -可快速啟動掃描與電腦連接的可移除媒體 (如 CD/DVD/USB) 當您將 USB 隨身碟連接到 電腦時 並想要掃描其內容是否有潛在威脅 這功能十分有用 按一下 [自訂掃描] 再選取 [掃描目標] 下拉式功能表中的 [可移除的媒體] 並按一下 [掃描] 也可啟動這類型 掃描 重複上次掃描 使用完全相同的設定重覆您的上一次掃描作業 附註 我們建議您一個月至少執行一次電腦掃描 您可以透過 [工具] > [排程器] 將掃描配置為已排程的工作 H y p e r-v 掃 描 此掃描類型可讓您掃描 Microsoft Hyper-V Server 的磁碟 也就是虛擬機器 (VM) 毋須在 VM 內安裝任何代理程 式 ESET 安全性產品會使用 Hyper-V 伺服器使用管理員權限進行安裝 目前版本的 Hyper-V 掃描支援在 Hyper-V 中掃描線上或離線虛擬系統 以下顯示根據主控的 Windows Hyper-V 系統和虛擬系統的狀態所支援的掃描類型 具有 Hyper-V 功能的虛擬系統 Windows Server Windows Server Windows Server 2012 Windows Server R2 Hyper-V 2012 Hyper-V R2 Hyper-V Hyper-V 線上 VM 無掃描 唯讀 唯讀 唯讀 離線 VM 唯讀/ 清理 唯讀/ 清理 唯讀/ 清理 唯讀/ 清理 硬體需求 伺服器應能順利執行虛擬機器 掃描活動主要是使用 CPU 資源 若要線上掃描 VM 需要可用磁碟空間 磁碟空間至少必須為檢查點/ 快照和虛擬磁碟使用空間的兩倍 特定限制 由於動態磁碟的本質 因此不支援在 RAID 儲存裝置 合併磁碟區和動態磁碟上進行掃描 因此 如有可能 我 們建議您避免在 VM 上使用動態磁碟類型 掃描一律只在目前的 VM 上執行 並不影響其檢查點或快照 ESET File Security 目前不支援在叢集中的主機上執行 Hyper-V 執行於 Windows Server 2008 R2 上之 Hyper-V 主機的虛擬機器只能以唯讀模式進行掃描 ( [不清除]) 不論是否 已在 ThreatSense 參數中選擇清除層級 注意 雖然 ESET Security 支援掃描虛擬磁碟 MBR 但唯讀掃描是唯一支援的方法 您可以在 [進階設定] > [病毒] > [Hyper-V 掃描] > ThreatSense 參數 > [開機磁區] 中變更此設定 要掃描的虛擬機器為 離線狀態 - 已關閉 狀態 39

40 ESET File Security 使用 Hyper-V 管理來偵測和連線至虛擬磁碟 因此 ESET File Security 具有對虛擬磁碟內容相同 的存取權 其權限就如同存取任何一般磁碟上的資料和檔案一樣 可掃描的虛擬機器為 線上狀態 - 執行中 暫停 儲存狀態 ESET File Security 使用 Hyper-V 管理來偵測虛擬磁碟 無法實際連線至這些磁碟 因此 ESET File Security 會建立 虛擬機器的檢查點/ 快照 然後連線至檢查點/ 快照 掃描完成後 系統便會刪除檢查點/ 快照 這表示可以執行 唯讀掃描 因為虛擬機器不受掃描活動的影響 允許最多一分鐘以讓 ESET Security 在掃描時建立快照或檢查點 當您打算在大量虛擬機器上執行 Hyper-V 掃描 時 應將此因素納入考量 命名慣例 Hyper-V 掃描的模組使用下列命名慣例 VirtualMachineName\DiskX\VolumeY 其中 X 為磁碟機編號 Y 則是磁碟區編號 例如 Computer\Disk0\Volume1. 數字字尾將依據偵測到的順序加上 且與 VM 磁碟管理員中所見的順序相同 要掃描的目標樹狀結構清單 進度列和防護記錄檔案都會使用此命名慣例 執行掃描 掃描可使用 3 種方式執行 指定掃描 - 按一下 [Hyper-V 掃描] 以檢視虛擬機器的清單和可供掃描的磁碟區 選取您想要掃描的虛擬機器 磁碟或磁碟區並按一下 [掃描] 透過排程器 透過 ESET Remote Administrator 作為稱為伺服器掃描的用戶端工作 您可同時執行多個 Hyper-V 掃描 掃描完成時 您將會收到通知和防護記錄檔的連結 可能的問題 在執行線上虛擬機器掃描時 必須建立特定虛擬機器的檢查點/ 快照 而在建立檢查點/ 快照期間 可能會限制 或停用部分虛擬機器的一般處理方法 若離線的虛擬機器正在進行掃描 它必須等到掃描結束後才可開啟 Hyper-V Manager 可讓您將不同的虛擬機器命名為相同名稱 當您檢閱掃描防護記錄 嘗試區分機器時會導致 問題 40

41 7.4 更新 定期更新 ESET File Security 是讓電腦保有最高安全性等級的最佳方法 更新 模組會透過兩種方式來確保程式 永遠為最新 藉由更新病毒資料庫及更新系統元件 在主要程式視窗中按一下 [更新] 可以檢視目前系統的更新狀態 包括最後的成功更新日期與時間 主要視窗內 也含有病毒資料庫版本 此更新版本數字是作用中連結 可連結至指定更新中所新增的病毒碼資訊 按一下 [立即更新] 以檢查更新 更新病毒資料庫及更新程式元件是維持完整防護 防止惡意代碼的一個重要部 分 上一次成功更新 - 上次更新的日期 請確認系統是指出最近的日期 表示病毒資料庫是最新的 病毒資料庫版本 - 病毒資料庫號碼 也是連結至 ESET 網站的作用中連結 按一下可檢視在指定更新內新增的所 有病毒碼清單 更新處理程序 按一下 [立即更新] 之後 會立即開始下載程序並顯示更新進度 若要中斷更新 請按一下 [取消更新] 重要 在正常情況下 適當地下載更新之後 更新 視窗中會出現 [不需要更新 -病毒資料庫是最新狀態] 訊息 若 非如此 即表示程式過期 因此更容易遭到感染 請儘快更新病毒資料庫 否則 會顯示下列其中一項訊息 病毒資料庫已過期 - 在數次嘗試更新病毒資料庫失敗之後 就會出現此錯誤 我們建議您檢查更新設定 此錯誤最常見的原因是輸入的驗證資料錯誤或連線設定的配置錯誤 41

42 前一個通知與下列關於失敗更新的兩項 [病毒資料庫更新失敗] 訊息相關 無效的授權 - 在更新設定中已錯誤地輸入授權金鑰 建議您檢查驗證資料 [進階設定] 視窗 (按鍵盤上的 F5) 包含其他的更新選項 從主要功能表按一下 [說明及支援] > [管理授權] 以輸入新的授權金鑰 下載更新檔案時發生錯誤 - 這可能是因為網際網路連線設定發生問題 建議您檢查網際網路連線 (透過在 Web 瀏覽器中開啟任何網站) 如果網站未開啟 可能是尚未建立網際網路連線 或是電腦連線有問題 請與 網際網路服務提供者 (ISP) 確認是否有可使用的網際網路連線 注意 如需相關資料 請造訪此知識庫文章 設 定 病 毒 資 料 庫 更 新 更新病毒資料庫及程式元件是提供完整防護 防止惡意程式碼的一個重要部分 請特別注意其配置與作業 從 主要功能表移至 [更新] 然後按一下 [立即更新] 檢查是否有較新的資料庫 42

43 您可以從 [進階設定] 視窗配置更新設定 (按一下鍵盤上的 F5 鍵) 若要配置例如更新模式 Proxy 伺服器存取 LAN 連線 以及建立病毒碼副本設定 (映像) 之類的進階更新選項 請按一下 [更新] > [設定檔] 如果更新遭遇問 題 請按一下 [清除] 以清除暫時更新快取 43

44 [更新伺服器] 功能表依預設將設為 [自動選擇] [自動選擇] 表示自動選擇從下載病毒資料庫的位置更新伺服 器 我們建議您讓預設選項保持選取狀態 如果您不想要顯示在螢幕右下角的系統匣通知 請選取 [停用成功 更新後顯示通知] 若要取得最佳功能 自動更新程式是很重要的 僅當在 [說明及支援] > [啟動授權] 中輸入正確的 [授權金鑰] 時 才可以這樣做 如果您並未在安裝後啟動您的產品 您可以隨時啟動 如需更多有關啟動的詳細資訊 請參閱如何啟動 ESET File Security 並在 [授權詳情] 視窗中輸入您使用 ESET 安全性產品接收的授權資料 44

45 7.4.2 配 置 P ro xy 伺 服 器 進 行 更 新 如果您在安裝 ESET File Security 的系統上使用 Proxy 伺服器進行網際網路連線 則必須在 [進階設定] 中配置 Proxy 設定 若要存取 Proxy 伺服器配置視窗 請按 F5 開啟 [進階設定] 視窗 然後按一下 [更新] > [設定檔] > [HTTP Proxy] 從 [[Proxy 模式] 下拉式功能表中 選取 [經由 Proxy 伺服器連線] 然後填入您的 Proxy 伺服器詳細資訊 [Proxy 伺服器] (IP 位址) [連接埠號碼] 以及 [使用者名稱] 和 [密碼] (如果適用的話) 如果您不確定伺服器詳細資訊 可以從下拉式清單選取 [使用全域 Proxy 伺服器設定] 以自動偵測您的 Proxy 伺服器設定 注意 各種更新設定檔的 Proxy 伺服器選項可能不同 如果是這種情況 請在 [進階設定] 中配置不同的更新設定 檔 方法是按一下 [更新] > [設定檔]. 如果 Proxy 無法使用 請使用直接連線 - 如果產品已配置為使用 HTTP Proxy 且 Proxy 無法存取 產品將避開 Proxy 並與 ESET 伺服器直接通訊 45

46 7.5 設定 [設定] 功能表包含下列區段 伺服器 電腦 工具 若要暫時停用個別模組 請按一下所需模組旁的 綠色切換選項 若要將停用的安全性元件防護重新啟用 按一下紅色切換選項 若要存取特定安全元件的詳細設定 請按一下齒輪圖示 請注意 這會降低電腦的防護層級 便可將元件返回啟用狀態 按一下 [進階設定] 或按 [F5] 以配置進階設定 設定視窗最下方有其他選項 若要使用.xml 配置檔案載入設定參數 或將目前的設定參數儲存至配置檔案 請 使用 [匯入/ 匯出設定] 選項 如需更多詳細資訊 請參閱 匯入/ 匯出設定 伺 服 器 您將可看見元件清單 可使用切換 來啟用/ 停用 若要配置特定項目的設定 請按一下齒輪圖示 自動排除功能可識別重要的伺服器應用程式及伺服器作業系統檔案 並自動將這些新增至排除清單中 此功 能會將潛在衝突的風險降至最低 並提升執行防毒軟體時的伺服器整體效能 若要設定 ESET 叢集 請按一下 [叢集精靈] 如需有關如何使用精靈設定 ESET 叢集 的詳情 請按一下這 裡 若您要設定更詳細的選項 請按一下 [進階設定] 或按 F5 設定視窗最下方有其他選項 若要使用.xml 配置檔案載入設定參數 或將目前的設定參數儲存至配置檔案 請 使用 [匯入/ 匯出設定] 選項 如需更多詳細資訊 請參閱匯入/ 匯出設定 46

47 7.5.2 電 腦 ESET File Security 包含所有必要的元件 以確保與電腦相同層級的重要防護 每個元件皆提供特定的防護類型 例如 病毒及間諜程式防護 即時檔案系統防護 Web 存取 電子郵件用戶端和網路釣魚防護等 您可以在 [設定] > [電腦] 下方找到 [電腦]區段 您將可看見元件清單 可使用切換 特定項目的設定 請按一下齒輪圖示 來啟用/ 停用 若要配置 如需 [即時檔案系統防護] 也可使用 [編輯排除] 選項 這將可開啟 [排除] 設定視窗 讓您從掃描中排除檔案 及資料夾 停用病毒及間諜程式防護 - 每當您要暫時停用 病毒及間諜程式防護 時 您可以使用下拉式功能表選取您所 選取要停用元件的時間長度 然後按一下 [套用] 來停用安全性元件 若要重新啟用防護 請按一下 [啟用病毒 及間諜程式防護] [電腦] 模組可讓您啟用/ 停用並配置下列元件 即時檔案系統防護 - 開啟 建立或在電腦上執行所有檔案時 都會掃描這些檔案是否具有惡意程式碼 [文件防護] - 文件防護功能可在 Microsoft Office 文件開啟前先行掃描文件 以及掃描 Internet Explorer 自動下 載的檔案 如 Microsoft ActiveX 元素 注意 依預設已停用文件防護 如果您想要使用此功能 您可以按一下切換圖示輕鬆啟用防護 裝置控制 -此模組可讓您掃描 封鎖或調整擴充的過濾/ 權限 以及定義使用者存取和使用指定裝置的方式 HIPS - HIPS 系統監控作業系統中所發生的事件 並根據自訂的規則集合執行反應動作 簡報模式 - 一項專為要求可不間斷地使用軟體 不想受到快顯視窗打擾 而且想要將 CPU 用量減到最少的使 用者所設計的功能 啟用 [簡報模式] 之後 您將收到警告訊息 (潛在的安全性風險) 接著主要程式視窗會轉 為橙色 反隱藏防護 - 可偵測例如 Rootkit 等危險程式 該危險程式可在作業系統中隱藏自己 這就意味著使用一般測 試技術無法偵測到它們 47

48 Web 存取防護 - 如果啟用 則會掃描 HTTP 或 HTTPS 所有流量以尋找惡意軟體 電子郵件用戶端防護 - 可監視透過 POP3 和 IMAP 通訊協定收到的通訊 網路釣魚防護 - 保護您免受攻擊者透過非法網站偽裝成合法網站來取得您的密碼 銀行資料和其他敏感資 料 設定視窗最下方有其他選項 若要使用.xml 配置檔案載入設定參數 或將目前的設定參數儲存至配置檔案 請 使用 [匯入/ 匯出設定] 選項 如需更多詳細資訊 請參閱 匯入/ 匯出設定 若您要設定更詳細的選項 請按一下 [進階設定] 或按 F 工 具 診斷記錄 - 當您按一下切換以啟用診斷記錄時 您可以選擇啟用的時間長度 (10 分鐘 30 分鐘 1 小時 4 小時 24 小時 直到下次伺服器重新啟動為止或永久) 當按下齒輪圖示 元件 48 時 將開啟 [進階設定] 視窗 在此您可以配置要寫入診斷防護記錄 (在啟用診斷記錄時) 的

49 啟用 所選時段的診斷記錄 匯 入 及 匯 出 設 定 按一下 [設定] > [匯入/ 匯出] 設定以存取您的 ESET File Security 的匯入/ 匯出設定 匯入和匯出都會使用. xml 檔案類型 如果您需要備份 ESET File Security 的目前配置 匯入和匯出會很有用 您可 以在稍後使用此功能 將相同的設定套用至其他電腦 附註 如果您沒有權限將匯出檔案寫入指定目錄 則可能會在匯出設定時遭遇錯誤 49

50 7.6 工具 [工具] 功能表包括的模組 可協助簡化程式管理 並提供其他選項 其中包括下列工具 執行中的處理程序 即時監控 防護統計 叢集 ESET Shell ESET SysInspector ESET SysRescue Live 排程器 提交樣本以供分析 隔離區 50

51 7.6.1 執 行 中 的 處 理 程 序 執行中處理程序會顯示電腦上執行的程式或處理程序 確保迅速持續地通知 ESET 新入侵的相關資訊 ESET File Security 可提供執行中處理程序的詳細資訊 以啟用 ESET LiveGrid 技術保護使用者 風險等級 - 在大部分情況下 ESET File Security 和 ESET LiveGrid 技術會使用一系列的啟發式規則 (檢查每個物件 的特性 然後衡量惡意活動潛在的可能性) 來指派物件 (檔案 處理程序 登錄機碼等) 的風險等級 根據這些啟 發式規則 指派從 1 - 良好 (綠色) 至 9 - 危險 (紅色) 的風險層級給物件 處理程序 - 目前在電腦上執行的程式或處理程序的影像名稱 若要查看電腦上的所有處理程序 您也可以使用 Windows 工作管理員 您可以在工具列的空白區按下滑鼠右鍵開啟 [工作管理員] 然後按一下 [工作管理員] 或按下鍵盤上的 Ctrl+Shift+Esc 鍵 PID - 是在 Windows 作業系統上執行程序的 ID 附註 標示為良好 (綠色) 的已知應用程式絕對是無病毒的 (白名單) 將排除在掃瞄名單之外 如此可以改善電腦上 指定電腦掃描或即時檔案系統防護的速度 使用者數目 - 使用指定應用程式的使用者數目 此資訊是由 ESET LiveGrid 技術收集 發現時間 - 應用程式由 ESET LiveGrid 技術發現以來的時間 附註 應用程式被標示為不明 (橙色) 時 不一定確定是惡意軟體 它通常只是新的應用程式 若您對檔案不確定 可以使用提交樣本以供分析功能來傳送檔案至 ESET 病毒實驗室 若經證實 檔案為惡意的應用程式 則其偵 測會新增到其中一個近期的病毒資料庫更新 應用程式名稱 - 此程序所屬的程式指定名稱 51

52 經由按一下最下方的指定應用程式 視窗底部會出現以下資訊 路徑 - 電腦上應用程式的位置 大小 - 單位為 kb 或 MB 的檔案大小 說明 - 根據作業系統說明的檔案特性 公司 - 供應商或應用程式處理程序的名稱 版本 - 來自應用程式發行者的資訊 產品 - 應用程式名稱和/ 或商業名稱 建立日期 - 應用程式建立時的日期及時間 修改日期 - 最近一次應用程式修改的日期及時間 附註 聲譽也可在不作為執行中程式/ 處理程序的檔案上檢查 - 標記您要檢查的檔案 並以滑鼠右鍵按一下這些檔 案 然後從 [內容功能表] 選取 [進階選項] > [使用 ESET LiveGrid 檢查檔案聲譽] 即 時 監 控 若要以圖形格式查看目前的 [檔案系統活動] 請按一下 [工具] > [即時監控] 在圖形的底端 是根據選取之時 間範圍即時記錄 檔案系統活動 的時間表 使用 [重新整理率] 下拉式功能表以改變更新頻率 52

53 可用選項如下 1 秒 - 圖表每秒鐘都會重新整理 且時間表包含最近 10 分鐘 1 分鐘 (最近 24 小時) - 圖表每分鐘都會重新整理 且時間表包含最近 24 小時 1 小時 (最近一個月) - 圖表每小時都會重新整理 且時間表包含最近一個月 1 小時 (選取的月份) - 圖表每小時都會重新整理 且時間表包含選取的月份 按一下 [變更月份] 按鈕進行另 一個選擇 [檔案系統活動圖形] 中的縱軸表示已讀取資料量 (藍色) 及已寫入資料量 (紅色) 兩個值都以 kb/mb/gb 為單 位 如果將滑鼠游標置於圖表下方圖例中已讀取資料或已寫入資料上 則圖表將只會顯示該活動類型的資料 時 段 選 擇 在圖表中選取您要檢視 [檔案系統活動] 的月份 (與年份) 防 護 統 計 若要檢視與 ESET File Security 防護模組相關的統計資料圖表 請按一下 [工具] > [防護統計] 從 [統計] 下拉式 功能表中選取想要的防護模組 以查看對應的圖表及圖例 如果將滑鼠游標置於圖例中的項目上 則在圖表中 只會顯示該項目的資料 下列為可用的統計圖表 病毒及間諜程式防護 - 顯示受感染及已清除物件的總數 53

54 檔案系統防護 - 僅顯示已讀取或寫入檔案系統的物件 電子郵件用戶端防護 - 僅顯示電子郵件用戶端傳送或接收的物件 Web 存取及網路釣魚防護 - 僅顯示 Web 瀏覽器下載的物件 在統計圖表旁 您可以看見已掃描物件的總數 受感染的物件數目 已清除的物件數目 以及不含病毒物件的數 目 按一下 [重設] 來清除統計資訊 或按一下 [全部重設] 來清除並移除所有現有的資料 叢 集 ESET 叢集 是 ESET 產品系列中適用於 Microsoft Windows Server 的 P2P 通訊基礎架構 本基礎架構可讓 ESET 伺服器產品彼此互相通訊以及交換資料 例如配置和通知 以及同步化產品執行個體群組 中正確作業所需的資料 這類群組的範例為 Windows 容錯移轉叢集 或 網路負載平衡 (NLB) 叢集 中的節點群 組 其包含已安裝的 ESET 產品 且整個叢集需要相同的產品配置 ESET 叢集 能確保執行個體間的一致性 注意 使用者介面設定並未在 ESET 叢集 節點之間同步化 您能夠從主要功能表內的 [工具] > [叢集] 來存取 ESET 叢集 狀態頁面 正確配置後 狀態頁面應看起來像這樣 若要設定 ESET 叢集 請按一下 [叢集精靈... ]如需有關如何使用精靈設定 ESET 叢集 的詳情 請按一下這裡 當設定 ESET 叢集 時 有兩種方法可以新增節點 -自動使用現有的 Windows 容錯移轉叢集 /NLB 叢集 或透過 瀏覽 工作群組 或 網域 內的電腦手動新增 自動偵測 - 自動偵測已是 Windows 容錯移轉叢集 /NLB 叢集 成員的節點 並將其新增至 ESET 叢集 瀏覽- 您可以輸入伺服器名稱來手動新增節點 (可以是相同 工作群組 或相同 網域 的成員) 附註 伺服器不需成為 Windows 容錯移轉叢集 /NLB 叢集 的成員 即可使用 ESET 叢集 功能 即使環境中沒有 Windows 容錯移轉叢集或 NLB 叢集 您也可以使用 ESET 叢集 54

55 新增節點至 ESET 叢集 後 下一個步驟是在各節點上安裝 ESET File Security 這在 ESET 叢集 設定期間將會自 動完成 在其他叢集節點上遠端安裝 ESET File Security 所需要的憑證 網域情況 - 網域管理員憑證 工作群組情況 - 您需要確認所有節點使用相同的本機管理員帳戶憑證 在 ESET 叢集 中 您也可以使用自動新增的節點組合作為現有 Windows 容錯移轉叢集 /NLB 叢集 的成員並手 動新增節點 (在相同 網域 時提供) 附註 您無法將 網域 節點與 工作群組 節點結合 使用 ESET 叢集 的另一個要求是必須在推送 ESET File Security 解決方案至 ESET 叢集 節點前 在 Windows 防 火牆 啟用 [檔案及印表機共用] 按一下 [銷毀叢集] 即可移除 ESET 叢集 每個節點將會在事件防護記錄寫入關於銷毀 ESET 叢集 的記錄 完 成之後 系統會從 Windows 防火牆 移除所有 ESET 防火牆規則 先前的節點會回復到原本的狀態 必要時可以 在其他 ESET 叢集 再次使用 附註 不支援在 ESET File Security 和 ESET File Security (適用於 Linux) 之間建立 ESET 叢集 執行 [叢集精靈... ] 能隨時將節點新增至現有的 ESET 叢集 方法與上述內容和這裡相同 55

56 叢 集 精 靈 -第 1 頁 設定 ESET 叢集 的第一個步驟為新增節點 您可以使用 [自動偵測] 選項或 [瀏覽... ] 來新增節點 或者 您可以 在文字方塊輸入伺服器名稱然後按一下 [新增] [自動偵測] 會自動從現有 Windows 容錯移轉叢集 /網路負載平衡(NLB) 叢集 新增節點 您用來建立 ESET 叢 集 的伺服器需為此 Windows 容錯移轉叢集 /NLB 叢集 的成員才能自動新增節點 NLB 叢集 必須針對 ESET 叢集 在叢集屬性中啟用 [允許遠端控制] 功能才能正確偵測節點 一旦您有了新的新增節點清單 您可以移除 不需要的節點 按一下 [瀏覽] 功能可在 網域 或 工作群組 中尋找和選取電腦 此方法可手動新增節點至 ESET 叢集 另一 個新增節點的方法為輸入您所要新增伺服器的主機名稱 然後按一下 [新增] 若要修改清單中的 [叢集節點] 請選取您想要移除的節點然後按一下 [移除] 或按一下[全部移除] 來完全清除 清單 如果您已具備現有的 ESET 叢集 您可以隨時新增節點 步驟與上述內容相同 注意 所有保留在清單的節點必須為上線狀態並且可以連線 Localhost 依預設已新增至 叢集 節點 56

57 叢 集 精 靈 -第 2 頁 定義叢集名稱 憑證發送模式和是否要在其他節點上安裝產品 叢集名稱 -輸入您的叢集名稱 監聽 連接埠 -(預設連接埠為 9777) 在 Windows 防火牆中開啟連接埠 -選取時會在 Windows 防火牆中建立規則 憑證 發送 自動 遠端 -將自動安裝憑證 手動 - 當您按一下 [產生] 將會開啟瀏覽視窗 -選取要儲存憑證的資料夾 其中包括已建立的 系統管理員 憑證 和每個節點的憑證 包括您設定 ESET 叢集 的本機 您可以選擇按一下 [是] 來註冊您本機的憑證 您稍後將需 要手動匯入憑證 方法如這裡所述 安裝至其他節點的產品 自動遠端 - ESET File Security 將會在每個節點上自動安裝 (作業系統為相同架構時才提供) 手動 - 如果您想要手動安裝 ESET File Security 請選擇此選項 (例如您在某些節點上有不同的 OS 架構時) 將授權推送到節點 但不啟動產品 - 選取此選項可讓 ESET Security 自動啟動安裝在節點上的 ESET 解決方案而 不需要授權 注意 如果您想要使用混合的作業系統架構 (32 位元和 64 位元) 建立 ESET 叢集 您將需要手動安裝 ESET File Security 下一個步驟時將會偵測使用中的作業系統 您將在防護記錄視窗看到此資訊 57

58 叢 集 精 靈 -第 3 頁 指定安裝詳情後會執行節點檢查 下列資訊會顯示在 [節點檢查記錄] 58 確認是否所有的現有節點皆為上線狀態 確認是否可存取新的節點 節點為上線狀態 可存取管理共用 可遠端執行 已安裝產品的正確版本 (或未安裝產品) 確認是否存在新的憑證

59 節點檢查完成後您將會看到報告 59

60 叢 集 精 靈 -第 4 頁 當 ESET 叢集 初始化期間必須在遠端機器上安裝產品時 精靈會在目錄 %ProgramData\ESET\<Product_name> \Installer 中嘗試尋找安裝程式 如果找不到安裝程式套件 系統會要求您尋找安裝程式套件 注意 使用不同的架構 (32 位元與 64 位元) 嘗試使用節點的自動遠端安裝時 系統會進行偵測並提示執行手動安 裝 60

61 附註 如某些節點已安裝較舊版的 ESET File Security 系統會通知您需要在這些電腦上安裝最新版本 更新 ESET File Security 可能會造成自動重新啟動 61

62 您正確配置 ESET 叢集 後 ESET 叢集 將會在 [設定] > [伺服器] 頁面中顯示啟用 62

63 此外 您同時可以從 叢集 狀態頁面檢查其目前狀態 ([工具] > [叢集]) 匯入憑證 -瀏覽至包含憑證的資料夾 (使用叢集精靈期間所產生) 選取憑證檔案並按一下 [開啟] E S E T S he ll eshell ( ESET Shell 的簡稱) 是 ESET File Security 的命令列介面 它是圖形使用者介面 (GUI) 的替代選擇 eshell 包 含 GUI 一般提供的所有功能和選項 eshell 可讓您無需使用 GUI 即可配置與管理整個程式 除了可提供所有 GUI 的功能與特性之外 此介面也可以讓您透過執行腳本 以自動配置 修改配置或執行處理方 法 此外 對於偏好使用命令列勝過 GUI 的使用者而言 eshell 也非常實用 eshell 可在兩種模式下執行 互動模式 -當您想要使用 eshell (不只是執行單一命令) 進行工作時可使用此模式 例如變更配置 檢視防護 記錄等 如果您尚未熟悉所有命令 可以使用互動模式 互動模式可協助您更輕鬆地瀏覽 eshell 的內容 它也 會告訴您在特定內容中可使用的命令 單一命令 /批次模式 -如果您只需要執行一個命令而不需要進入 eshell 互動模式 可使用此模式 請從 Windows 命令提示字元輸入 eshell 和適當的參數 例如 eshell get status 或 eshell set antivirus status disabled 有一些設定您必須先配置 才能在批次/ 腳本模式中執行某些命令 (例如上述第二個範例) 否則 您會得到一個 已拒絕存取訊息 這是基於安全考量 注意 如需取得完整功能 我們建議您使用以管理員身分執行開啟 eshell 當透過 Windows 命令提示字元 (cmd) 執行單一命令時也適用相同方法 使用 以管理員身分執行開啟提示字元 若無法以管理員身分執行命令提 示字元 則會因為缺乏權限而防止您執行命令 63

64 附註 變更設定需要允許從 Windows 命令提示字元中使用 eshell 命令 如需更多有關執行批次檔案的詳細資訊 請按一下這裡 有兩種方式可以在 eshell 進入互動模式 經由 Windows 開始 功能表 [開始] > [所有程式] > [ESET] >[ESET File Security] > ESET Shell 從 Windows 命令提示字元輸入 eshell 並按下 Enter 鍵 重要 如果您遇到錯誤 'eshell' is not recognized as an internal or external command 這是因為安裝 ESET File Security 之後 系統未載入新的環境變數 開啟命令提示字元 並嘗試再次啟動 eshell 如果您仍遇到錯誤或 有 ESET File Security 的核心安裝 請使用絕對路徑啟動 eshell 例如 "%PROGRAMFILES%\ESET\ESET File Security\eShell.exe" (您必須使用 " " 命令才能運作) 當您第一次在互動模式中執行 eshell 時 將顯示初次執行 (指導) 畫面 附註 如果您想在之後也顯示初次執行畫面 請輸入guide 命令 此畫面會顯示一些基本範例 告訴您如何搭配語 法 前置詞 命令路徑 縮寫形式 別名等方式使用 eshell 下一次您執行 eshell 時 將會看到此畫面 附註 命令不區分大小寫 無論使用大寫或小寫 都可以執行命令 自訂 eshell 您可以在 ui 他動作 64 eshell 內容中自訂 eshell 您可以為指令碼配置別名 顏色 語言 執行原則以隱藏命令和執行其

65 使 用 語法 指令必須使用正確的語法格式化才能運作 並可由前置詞 內容 引數 選項等組成 這是適用於整個 eshell 的 一般語法 [<prefix>] [<command path>] <command> [<arguments>] 範例 (此命令會啟動文件防護) SET ANTIVIRUS DOCUMENT STATUS ENABLED SET - 前置詞 - 特定命令的路徑 是此命令所隸屬的內容 - 命令本身 ENABLED - 命令的引數 ANTIVIRUS DOCUMENT STATUS 使用? 作為命令的引數 將會顯示該特定命令的語法 例如 STATUS? 將會顯示 STATUS 命令的語法 語法 [get] status set status enabled disabled 您會發現[get] 位於括弧內 這會指定前置詞get 是 status 命令的預設值 這表示當您執行status 且未指定任何 前置詞時 命令會確實使用預設的前置詞 (在此情況為 get status) 使用無前置詞的命令可節省輸入的時間 通 常get 是大部分命令的預設前置詞 但是您必須確定特定命令是使用何種預設前置詞 而且該命令確實是您想 要執行的命令 注意 命令不區分大小寫 因此無論使用大寫或小寫都可執行命令 前置詞 /作業 前置詞是一項作業 該GET 前置詞將提供您如何配置 ESET File Security 特定功能的資訊 或顯示狀態 (例如GET ANTIVIRUS STATUS 將顯示目前的防護狀態) 該SET 前置詞將配置功能或變更其狀態 ( SET ANTIVIRUS STATUS ENABLED 將啟動防護) 這些是 eshell 讓您使用的前置詞 命令可能或無法支援所有前置詞 - 返回目前設定/ 狀態 - 設定值/ 狀態 SELECT - 選取項目 ADD - 新增項目 REMOVE - 移除項目 CLEAR - 移除所有項目/ 檔案 START - 啟用處理方法 STOP - 停用處理方法 PAUSE - 暫停處理方法 RESUME - 繼續使用處理方法 RESTORE - 還原預設設定/ 物件/ 檔案 SEND - 傳送物件/ 檔案 IMPORT - 從檔案匯入 EXPORT - 匯出至檔案 GET SET 前置詞如GET 和 SET 可與許多命令搭配使用 但是某些命令 例如EXIT 不使用前置詞 命令路徑 /內容 命令位於形成樹狀結構的內容中 此樹狀結構的最高層級是根 當您執行 eshell 時 您是位於根層級 eshell> 65

66 您可以從此處執行命令 或是輸入內容名稱以在樹狀結構內瀏覽 例如 當您輸入TOOLS 內容時 將會列出從此處 可用的所有命令與子內容 黃色項目是您可以執行的命令 而灰色項目是您可以輸入的子內容 子內容包含更多命令 如果您需要返回更高層級 請使用.. (兩個點) 例如 假設您在此處 eshell antivirus startup> 再輸入.. 以移至更高一個層級到 eshell antivirus> 或者 如果您想從eShell antivirus startup> 返回根 (此位置比根低兩層級) 只需輸入.... (兩個點加上空格 再加上兩個點) 透過執行此動作 您將移至上兩個層級 在此情況為根層級 使用反斜線\ 可從任何層級直接回 到根目錄 無論您在內容樹狀結構內的深度為何 如果您想要到上層的特定內容 只要視需要使用適當數量的.. 指令以到達所需的層級 使用空格分隔 例如 如果您想要到達上三層 請使用 路徑與目前的內容相關 如果命令包含在現有內容 請不要輸入路徑 例如 若要執行GET 入 - 如果您位在根內容 (命令列顯示 eshell>) - 如果您位在內容ANTIVIRUS (命令列顯示eShell antivirus>) STATUS - 如果您位在內容ANTIVIRUS STARTUP (命令列顯示eShell antivirus ANTIVIRUS STATUS 輸 GET ANTIVIRUS STATUS GET STATUS.. GET startup> ) 附註 您可以使用單一點. 取代兩個點.. 因為單一點就是兩個點的縮寫 例如. GET STATUS - 如果您位在內容ANTIVIRUS STARTUP (命令列顯示eShell antivirus startup> ) 引數 引數是專為特定命令所執行的處理方法 例如 命令CLEAN-LEVEL (位於ANTIVIRUS 數搭配使用 REALTIME ENGINE ) 可與下列引 - 不清除 - 正常清除 strict - 完全清除 否 normal 另一個範例則是引數 ENABLED 或DISABLED 可用來啟用或停用特定功能 縮寫形式 /簡短的命令 eshell 可讓您縮短內容 命令和引數 (假設引數是參數或替代選項) 您無法縮短具體值的前置詞或引數 (例如數 字 名稱或路徑) 66

67 附註 您可以使用數字1 和 0 取代enabled 和 disabled 引數 例如 set status enabled set status disabled => => set stat 1 => set stat en set stat 0 簡短形式的範例 set status enabled add antivirus common scanner-excludes C:\path\file.ext => add ant com scann C:\path\file.ext 當兩個命令或內容以同樣的字母為開頭時 例如ABOUT 和 ANTIVIRUS 而且您輸入A 作為簡短的命令時 eshell 將 無法決定您要執行哪一個命令 系統將會顯示錯誤訊息 並且列出以 A 為開頭的命令供您選擇 eshell>a 下列不是唯一的命令 a 下列命令皆可用於此內容 ABOUT - 顯示關於程式的資訊 ANTIVIRUS - 變更內容防毒 透過新增一或多個字母 (例如 AB 而非只是A) eshell 將執行ABOUT 命令 因為此命令現在是唯一的命令 附註 當您想確定命令是依照您所需方式執行時 我們建議您不要縮寫命令 引數等 請使用完整形式 如此命令 將依照您所需方式執行 而且可避免不必要的錯誤 批次檔案 /腳本尤其如此 自動完成 這個在 eshell 2.0 eshell 推出的新功能 與 Windows 命令提示字元的自動完成非常類似 Windows 命令提示字 元完成檔案路徑時 eshell 也會完成命令 內容與作業名稱 不支援完成引數 輸入命令時 只要按下 Tab 即可 完成或在可用的變化中循環切換 按下 Shift + Tab 則會往回切換 不支援混合使用縮寫形式與自動完成 請使用 其中一個 例如 當您輸入antivir real scan 按下 Tab 將不會有反應 相反的 輸入antivir 然後按下 Tab 完成 病毒防護 並繼續輸入 real + Tab 與 scan + Tab 之後您便可以在所有可用的變化之間循環切換 scan-create scanexecute scan-open 等 別名 別名是替代名稱 可用來執行命令 (假設已指派別名給命令) 有一些預設別名 如下 - 結束 - 結束 (global) bye - 結束 warnlog - 工具防護記錄事件 virlog - 工具防護記錄偵測 antivirus on-demand log - 工具防護記錄掃描 (global) close (global) quit (global) 表示命令可用於任何位置 無論目前內容為何 一個命令可指派多個別名 例如命令EXIT 具有別名 CLOSE, QUIT 和 BYE. 當您想要結束 eshell 時 您可以使用EXIT 命令本身 或任一別名 別名VIRLOG 是命令 DETECTIONS 的別名 此命令位於TOOLS LOG 內容中 如此 便可從ROOT 內容使用偵測命令 也因此更易於存取 (您 不需要進入TOOLS 然後LOG 內容 而且可直接從下列位置執行 ROOT). eshell 可讓您定義自己的別名 命令ALIAS 位在UI ESHELL 內容中 密碼保護的設定 ESET File Security 設定可由密碼保護 您可以使用 GUI 設定密碼或 eshell 使用下列命令設定 set ui access lock-password. 之後您將必須以互動的方式為某些命令 (例如變更設定或修改資料的命令) 輸入此密碼 如果您 計劃長時間使用 eshell 而且不想重覆輸入密碼 您可以使用以下方法令 eshell 記住密碼 set password 之後每 個需要密碼的執行命令會自動填入您的密碼 一直到您結束 eshell 之前都會記住密碼 這表示當您開始新工作 階段和想讓 eshell 記住您的密碼時 您需要再次使用set password 手冊 /說明 當您執行GUIDE 或HELP 命令時 系統會顯示初次執行畫面 說明如何使用 eshell 此命令可從ROOT 內容取得 ( eshell>). 67

68 命令歷程 eshell 會保留先前已執行之命令的歷程 這只適用於目前的 eshell 互動工作階段 一旦您結束 eshell 系統將捨 棄命令歷程 使用鍵盤上的方向鍵 Up 和 Down 來瀏覽歷程 在您找到尋找的命令之後 您無需自開頭輸入完整 的命令便可再次執行此命令 或是進行修改 CLS / 清除畫面 該CLS 命令可用來清除畫面 這與 Windows 命令提示字元或類似的命令列介面運作方式相同 EXIT / CLOSE / QUIT / BYE 若要關閉或結束 eshell 您可以輸入任一命令 ( EXIT, CLOSE, QUIT 或BYE) 命 令 本節會列出一些基本的 eshell 命令並加以說明 附註 命令不區分大小寫 因此無論使用大寫或小寫都可執行命令 範例命令 (包含在 [根] 內容內) 關於 列出關於程式的資訊 它會顯示資訊 例如 您安裝的 ESET 安全性產品名稱及其版本編號 作業系統和基本的硬體詳細資訊 使用者名稱 (包括網域) 完整電腦名稱 (FQDN 若您的伺服器是網域的成員) 以及基座名稱 您的 ESET 安全性產品已安裝的元件 包括每個元件的版本編號 內容路徑 root 密碼 通常 若要執行受密碼保護的命令時 系統會基於安全性理由提示您輸入密碼 此規則適用於停用病毒防護及 可能影響 ESET File Security 配置的命令 系統將在您每次執行這類命令時 提示您輸入密碼 然而 若要避免每 次輸入密碼 您可以定義此密碼 eshell 將會記住此密碼 而且在執行受密碼保護的命令時 系統會自動輸入此 密碼 附註 您的密碼只適用於目前的 eshell 互動工作階段 一旦您結束 eshell, 系統將捨棄此定義的密碼 當您再次啟 動 eshell 時 您需要再次定義密碼 定義的密碼在執行未簽署的批次檔案或腳本時也可使用 執行未簽署的批次檔案時 請確認 ESET Shell 執行原則 設定為完整存取權限 這類批次檔案的範例如下 eshell set password plain <yourpassword> "&" set status disabled 上述連鎖的命令會定義密碼並停用防護 重要 我們建議您盡可能使用已簽署的批次檔案 如此一來您即可避免在批次檔案中有純文字密碼 (若使用上述的 方法) 請參閱批次檔案 /腳本 (已簽署的批次檔案一節) 以取得更多詳細資料 內容路徑 root 語法 [get] restore password set password [plain <password>] 68

69 作業 get - 顯示密碼 set - 設定或清除密碼 restore - 清除密碼 引數 plain 密碼 - 切換將輸入的密碼作為參數 - 密碼 範例 set password plain <yourpassword> restore password - 設定將用於受密碼保護之命令的密碼 - 清除密碼 範例 get password - 使用此命令來檢視是否已配置密碼 (只會顯示星號 * 不會列出密碼本身) 沒有顯示星號時 表示尚未設定密碼 set password plain <yourpassword> restore password - 使用此命令來設定已定義的密碼 - 此命令會清除已定義的密碼 狀態 顯示關於 ESET File Security 目前防護狀態的資訊 (類似 GUI) 內容路徑 root 語法 [get] restore status set status disabled enabled 作業 get - 顯示病毒防護狀態 set - 停用/ 啟用病毒防護 restore - 還原預設設定 引數 disabled enabled - 停用病毒防護 - 啟用病毒防護 範例 get status - 顯示目前的防護狀態 set status disabled restore status - 停用防護 - 將防護還原至預設設定 (已啟用) VIRLOG 這是DETECTIONS 命令 當您需要檢視關於所偵測到入侵的資訊時 可使用此命令 WARNLOG 這是事件 命令 當您需要檢視關於各種事件的資訊時 可使用此命令 69

70 批 次 檔 案 /腳本 您可以使用 eshell 作為強大的腳本工具以自動進行作業 若要搭配 eshell 使用批次檔案 請使用 eshell 建立一 個批次檔案並在其中寫入命令 例如 eshell get antivirus status 您也可以連鎖命令 有時這是必要的 例如您想要取得某個已排程的工作 請如下輸入 eshell select scheduler task 4 "&" get scheduler action 項目的選取 (在本例中為第 4 號工作) 通常僅適用於 eshell 的目前執行中實例 如果您連續執行這兩命令 則第 二個命令會失敗 錯誤為 未選取工作或所選取的工作不存在 基於安全性理由 執行原則會預設為 限制的腳本 這可讓您使用 eshell 作為監控工具 但不會讓您變更 ESET File Security 的組態 若您嘗試針對會影響安全性的命令執行腳本 如停用防護 則會顯示 [已拒絕存取] 訊息 建議您使用已簽署的批次檔案 以執行會變更組態的命令 如要使用在 Windows 命令提示字元中手動輸入的單一命令來變更配置 您必須授予 eshell 完整存取權 (不建 議) 若要授予完整存取權 請使用 ui eshell shell-execution-policy 於 eshell 自身的互動模式中 或透過 [進 階設定] > [使用者介面] > ESET Shell 內的 GUI 已簽署的批次檔案 eshell 允許您使用簽章保護一般批次檔案 (*.bat) 以用來防護設定的相同密碼簽署腳本 為了簽署腳本 您必須 先啟用設定防護 這可以透過 GUI 完成 或從 eshell 中使用set ui access lock-password 命令 設定好設定防護 密碼後 您可以啟動簽署的批次檔案 若要簽署批次檔案 請從 eshell 的根內容執行sign <script.bat> 其中 script.bat 是所要簽署腳本的路徑 輸入 並確認將用於簽署的密碼 此密碼必須符合設定防護密碼 簽章會以註解形式放在批次檔案結尾處 如果此指 令碼已經簽署 便會由新的簽署取代 注意 當您修改先前已簽署的批次檔案時 該檔案需要再簽署一次 附註 如果您變更設定防護密碼 則您必須再次簽署所有的腳本 否則腳本便無法執行以下密碼變更 簽署腳本時 輸入的密碼必須符合目標系統上的設定保護密碼 若要從 Windows 命令提示字元執行已簽署的批次檔案 或以排程工作的方式執行 請使用下列命令 eshell run <script.bat> 其中 script.bat 是批次檔案的路徑 例如 eshell run d:\myeshellscript.bat E S E T S y s Ins p e c to r ESET SysInspector 是全面檢查電腦 收集系統元件 (例如已安裝的驅動程式和應用程式 網路連線 或重要的登 錄項目) 的詳細資訊並評估各個元件風險層級的應用程式 此資訊可協助判定可疑系統行為是肇因於軟體或硬 體不相符 還是惡意軟體感染 ESET SysInspector 視窗會顯示建立的防護記錄相關的下列資訊 時間 - 防護記錄建立的時間 註解 - 簡短註解 使用者 - 建立防護記錄的使用者名稱 狀態 - 防護記錄建立的狀態 可用動作如下所示 70 開啟 - 開啟已建立的防護記錄 在防護記錄上按一下滑鼠右鍵並從內容功能表選取 [顯示] 比較 - 比較兩份現有防護記錄 建立 - 建立新的防護記錄 請等候直到 ESET SysInspector 防護記錄完成 (狀態為已建立) 刪除 - 從清單移除選取的防護記錄

71 以滑鼠右鍵按一下一個或多個選取的防護紀錄後 內容功能表中即有以下選項可供使用 顯示 - 在 ESET SysInspector 中開啟所選取的防護記錄 (與按兩下防護記錄的功能相同) 比較 - 比較兩份現有防護記錄 建立 -建立新的防護記錄 請等候直到 ESET SysInspector 防護記錄完成 ([狀態] 顯示為已建立) 刪除 - 從清單移除選取的防護記錄 全部刪除 - 刪除所有防護記錄 匯出 - 將防護記錄匯出至.xml 檔或壓縮的.xml 建 立 電 腦 狀 態 快 照 輸入簡單註解說明要建立的防護記錄 並按一下 [新增] 按鈕 請等候直到 ESET SysInspector 防護記錄完成 (狀態 顯示為已建立) 視硬體配置和系統資料而定 防護記錄建立可能需要一些時間 E S E T S y s Ins p e c to r E S E T S y s Ins p e c to r 簡 介 ESET SysInspector 是會徹底檢查電腦 並完整地顯示所收集資料的應用程式 諸如已安裝驅動程式及應用程式 網路連線或重要登錄項目等資訊 可協助您調查可疑系統行為是肇因於軟體或硬體不相容 還是惡意軟體感 染 有兩種方法可存取 ESET SysInspector 從 ESET Security 解決方案中整合的版本 或從 ESET 的網站下載獨立的版本 (SysInspector.exe) 這兩種版本在功能方面完全相同 而且有相同的程式控制項 唯一的差別在於管理輸出的方 式 獨立的版本和整合的版本分別讓您將系統快照匯出為.xml 檔和儲存於磁碟 不過 整合的版本還可讓您將 系統快照直接儲存於 [工具] > [ESET SysInspector] (ESET Remote Administrator 除外) 如需詳細資訊 請參閱ESET SysInspector 是 ESET File Security 的一部分一節 請等候 ESET SysInspector 掃描電腦 視硬體配置 作業系統和電腦上安裝的應用程式數目而定 這可能需要 10 秒到幾分鐘的時間 啟 動 E S E T S y s Ins p e c to r 若要啟動 ESET SysInspector 只要執行從 ESET 網站下載的 SysInspector.exe 執行檔即可 如果您已安裝任一款 ESET Security 解決方案 可以直接從 [開始] 功能表執行 ESET SysInspector (按一下 [程式] > [ESET] > [ESET File Security]) 應用程式檢查系統時請稍候 這可能需花費數分鐘 71

72 使 用 者 介 面 和 應 用 程 式 使 用 為清楚起見 主要程式視窗分為四個主要區段 位於主要程式視窗頂端的 程式控制 位於中間左側的 瀏覽 視窗 位於右側的 說明視窗 以及位於主要程式視窗底部的 詳細資料 視窗 [防護記錄狀態] 區段列出防護 記錄的基本參數 (使用的過濾器 過濾器類型 防護記錄是否為比較的結果等) 程 式 控 制 項 本小節包含 ESET SysInspector 中所有可用程式控制的說明 檔案 只要按一下 [檔案] 即可儲存您目前的系統狀態作為稍後調查之用 或是開啟先前儲存的防護記錄 如果您要 發行防護記錄 我們建議您產生適合傳送的防護記錄 在此格式中 此形式的防護記錄將會省略機密資訊 (目前 的使用者名稱 電腦名稱 網域名稱 目前的使用者權限 環境變數等) 附註 您可以開啟先前儲存的 ESET SysInspector 報告 只要將報告拖放至主要程式視窗即可 樹狀結構 讓您可以展開或關閉所有節點 並且可以將選取的區段匯出成 服務 腳本 清單 包含可在程式內更輕鬆瀏覽的功能 以及各類其他功能 例如尋找線上資訊 說明 包含應用程式及其功能的相關資訊 72

73 詳情 此設定影響在主要程式視窗顯示的資訊 讓您更加輕鬆使用資訊 在 基本 模式下 您可以存取用來尋找系統 常見問題的解決方案資訊 在 中等 模式中 程式會顯示不常使用的詳情 在 完整 模式中 ESET SysInspector 會顯示解決專門問題的所有必要資訊 過濾 項目過濾最適用於尋找系統中的可疑檔案或登錄項目 透過調整滑桿 您可以依據 風險層級 過濾項目 如果 滑桿被設定至最左邊 (風險層級 1) 則所有項目都會顯示 藉由將滑桿移動至右邊 程式會濾除所有風險低於目 前風險等級的項目 只出現比顯示的層級更可疑的項目 當滑桿移至最右邊 程式僅顯示已知的有害項目 所有標示為風險範圍 6 至 9 的項目都會引起安全性風險 如果你正在使用 ESET 安全性解決方案 如果 ESET SysInspector 找到任何此類項目 我們建議您使用 ESET Online Scanner 掃描系統 ESET Online Scanner 是免費的 服務 附註 透過比較項目的顏色與 風險層級 滑桿上的顏色 可快速判定項目的 風險層級 比較 在比較兩筆防護記錄時 您可以選擇顯示所有項目 只顯示新增項目 只顯示移除的項目 或只顯示已取代的項 目 尋找 搜尋可用來根據特定項目的名稱或部分名稱快速尋找該項目 搜尋要求的結果會顯示在 [說明] 視窗中 返回 按一下 [返回] 和 [下一個] 箭號 您可返回至先前 [說明視窗] 中顯示的資訊 您可以使用退格鍵和空白鍵取代按 一下 [返回] 和 [下一個] 狀態區段 顯示 [瀏覽視窗] 中目前的節點 重要 以紅色反白顯示的項目是未知的 這就是程式將其標記為潛在危險的原因 即使項目是紅色的 也不表 示您可以刪除該檔案 刪除之前 請確定檔案確實是危險或不必要的 在 E S E T S y s Ins p e c to r 中 瀏 覽 ESET SysInspector 會將各類型的資訊分為數個基本區段 稱為節點 將每個節點展開至子節點 就可以找到更多 詳情 (如果有的話) 若要開啟或折疊節點 連按兩下節點名稱或者按一下節點名稱旁的 或 當您在 [瀏覽] 視 窗中 透過節點和子節點的樹狀結構進行瀏覽時 您會發現 [說明] 視窗中會顯示每個節點的各種詳情 如果您 在 [說明視窗] 中瀏覽項目 則每個項目的其他詳情會顯示在 [詳情視窗] 中 以下說明有關 瀏覽視窗 的主節點 以及 說明視窗 和 詳情視窗 的相關資訊 執行中的處理程序 此節點包含產生防護記錄時執行之應用程式及處理程序的相關資訊 在 [說明視窗] 中 您會找到更多關於每個 程序的詳情 如程序使用的動態程式庫及其在系統中的位置 應用程式供應商的名稱 檔案的風險等級等等 [詳情視窗] 包含 [說明視窗] 中所選取項目的其他資訊 例如檔案大小或雜湊 附註 作業系統由數種從不間斷執行的重要核心元件構成 並提供其他使用者應用程式基本且必要的功能 在 特定情況下 此類處理程序會顯示於工具 ESET SysInspector 中 其檔案路徑以 \??\ 開始 那些符號提供程序啟 動前的最佳化 這個動作對系統無害 網路連線 [說明視窗] 包含使用 [瀏覽視窗] 中選取的通訊協定 (TCP 或 UDP) 透過網路進行通訊的程序和應用程式清單 以 及應用程式要連接的遠端位址 您也可以查看 DNS 伺服器的 IP 位址 [詳情視窗] 包含 [說明視窗] 中所選取項目的其他資訊 例如檔案大小或雜湊 73

74 重要登錄項目 包含所選取登錄項目的清單 通常與各種系統問題相關 例如指定啟動程式 瀏覽器 Helper 物件 (BHO) 等等 在 [說明視窗] 中 您可以找到與特定登錄項目相關的檔案 您可以在 [詳情視窗] 中看到其他詳情 服務 [說明視窗] 包含登錄為 Windows 服務的檔案清單 您可以檢查服務設定啟動的方式 並在 [詳情] 視窗中檢查檔 案的特定詳情 驅動程式 系統上所安裝的驅動程式清單 重要檔案 [說明視窗] 顯示與 Microsoft Windows 作業系統相關的重要檔案內容 系統排程任務 包含 Windows 工作排程器在指定時間/ 間隔觸發的工作清單 系統資訊 包含硬體及軟體的詳情 以及設定環境變數 使用者權限及系統事件防護記錄的相關資訊 檔案詳情 重要系統檔案及 Program Files 資料夾中檔案的清單 檔案特定的其他資訊可在 [說明視窗] 和 [詳情視窗] 中找 到 關於 ESET SysInspector 版本與程式模組清單的相關資訊 使用 ESET SysInspector 時可使用的鍵盤捷徑包括 檔案 Ctrl+O Ctrl+S 開啟現有的防護記錄 儲存建立的防護記錄 產生 Ctrl+G Ctrl+H 產生標準電腦狀態快照 產生可記錄敏感資料的電腦狀態快照 項目過濾 1 O U B Ctrl+9 Ctrl+0 74 良好 會顯示風險層級 1-9 的項目 良好 會顯示風險層級 2-9 的項目 良好 會顯示風險層級 3-9 的項目 未知 會顯示風險層級 4-9 的項目 未知 會顯示風險層級 5-9 的項目 未知 會顯示風險層級 6-9 的項目 危險 會顯示風險層級 7-9 的項目 危險 會顯示風險層級 8-9 的項目 危險 會顯示風險層級 9 的項目 降低風險層級 增加風險層級 過濾模式 同等級或更高 過濾模式 僅同等級

75 檢視 Ctrl+5 Ctrl+6 Ctrl+7 Ctrl+3 Ctrl+2 Ctrl+1 退格鍵 空格鍵 Ctrl+W Ctrl+Q 依供應商檢視 所有供應商 依供應商檢視 僅 Microsoft 依供應商檢視 所有其他供應商 顯示完整詳情 顯示中等詳情 基本顯示 向前移動一步 向後移動一步 展開樹狀結構 收合樹狀結構 其他控制項 Ctrl+T Ctrl+P Ctrl+A Ctrl+C Ctrl+X Ctrl+B Ctrl+L Ctrl+R Ctrl+Z Ctrl+F Ctrl+D Ctrl+E 在搜尋結果中選取之後 移至項目的原始位置 顯示項目的基本資訊 顯示項目的完整資訊 複製目前項目的樹狀結構 複製項目 尋找網際網路上所選取檔案的相關資訊 開啟選取之檔案所在的資料夾 開啟登錄編輯器中的對應項目 複製檔案的路徑 (如果項目與檔案相關) 切換至搜尋欄位 關閉搜尋結果 執行服務腳本 比較 Ctrl+Alt+O Ctrl+Alt+R Ctrl+Alt+1 Ctrl+Alt+2 Ctrl+Alt+3 Ctrl+Alt+4 Ctrl+Alt+5 Ctrl+Alt+C Ctrl+Alt+N Ctrl+Alt+P 開啟原始/ 比較防護記錄 取消比較 顯示所有項目 只顯示新增的項目 防護記錄會顯示目前防護記錄中存在的項目 只顯示移除的項目 防護記錄會顯示前一個防護記錄中存在的項目 只顯示已取代的項目 (包括檔案) 只顯示防護記錄之間的差異 顯示比較 顯示目前防護記錄 開啟前一個防護記錄 其他選項 F1 Alt+F4 Alt+Shift+F4 Ctrl+I 檢視說明 關閉程式 不詢問即關閉程式 防護記錄統計 比 較 比較 功能可以讓使用者比較兩份現有的防護記錄 此功能的比較結果是不通用於兩個防護記錄的一組項目 如果您要追蹤系統的變更 此功能非常適合 -是偵測惡意程式的實用工具 功能啟動後 應用程式會建立新的防護記錄 該防護記錄會在新的視窗中顯示 按一下 [檔案] > [儲存防護記 錄] 將防護記錄儲存至檔案 防護記錄檔案可在稍後開啟並檢視 若要開啟現有的防護記錄 請按一下 [檔案] > [開啟防護記錄] 在主程式視窗中 ESET SysInspector 會一次顯示一份防護記錄 比較此兩筆防護記錄的好處是 您可以檢視目前作用中的防護記錄以及儲存於檔案中的防護記錄 若要比較防 護記錄 請按一下 [檔案] > [比較防護記錄] 然後選擇 [選取檔案] 選取的防護記錄會與主要程式視窗中的作 用中防護記錄進行比較 該相較防護記錄將只顯示兩筆防護記錄之間的差異 75

76 附註 如果您要比較兩份防護記錄檔案 請按一下 [檔案] > [儲存防護記錄] 然後儲存成 ZIP 檔案 則會儲存兩 個檔案 如果您稍後開啟這類檔案 內含的防護記錄就會自動進行比較 在所顯示項目的旁邊 ESET SysInspector 會顯示識別所比較防護記錄之間差異的符號 可在項目旁邊顯示之所有符號的說明 新值 不存在於前一個防護記錄中 樹狀結構區段包含新值 移除的值 只存在於前一份防護記錄中 樹狀結構區段包含移除的值 值/ 檔案已變更 樹狀結構區段包含修改的值/ 檔案 已降低風險層級/ 它在前一個防護記錄中較高 已增加風險層級/ 它在前一個防護記錄中較低 在左下角顯示的說明區段會說明所有符號 並顯示要比較之防護記錄的名稱 任何比較防護記錄都可以儲存至檔案 並在稍後開啟 範例 產生記錄系統原始資訊的防護記錄 並將其儲存至名為 previous.xml 的檔案 在變更系統之後 開啟 ESET SysInspector 並讓其產生新的防護記錄 將其儲存至名為 current.xml 的檔案 為追蹤這兩份防護記錄間的變更 請按一下 [檔案] > [比較防護記錄] 程式會建立比較防護記錄 顯示防護記 錄之間的差異 如果使用下列命令列選項 也可達到相同的結果 SysIsnpector.exe current.xml previous.xml 命 令 列 參 數 ESET SysInspector 支援透過使用這些參數的命令列產生報告 /gen /privacy /zip /silent /blank 直接從指令列產生防護記錄 而不執行 GUI 產生忽略敏感資料的防護記錄 在 zip 壓縮檔中儲存結果防護記錄 從指令列產生防護記錄時隱藏處理視窗 - 啟動 ESET SysInspector 而不產生/ 載入防護記錄 範例 用法 Sysinspector.exe [load.xml] [/gen=save.xml] [/privacy] [/zip] [compareto.xml] 若要將特定防護記錄直接載入至瀏覽器 用法如下 SysInspector.exe.\clientlog.xml 若要從指令列產生防護記錄 用法如下 SysInspector.exe /gen=.\mynewlog.xml 若要以壓縮檔方式直接產生排除敏感資訊的防護記錄 用法如下 SysInspector.exe /gen=.\mynewlog.zip / privacy /zip 若要比較兩個防護記錄檔並瀏覽差異 用法如下 SysInspector.exe new.xml old.xml 76

77 附註 如果檔案/ 資料夾的名稱包含空白 則應將其放在引號中 服 務 腳本 服務腳本是專為使用 ESET SysInspector 的客戶所提供協助的工具 可輕鬆移除系統中不需要的物件 服務腳本可讓使用者匯出整個 ESET SysInspector 防護記錄 或所選取的部分 匯出後 您可以標記不需要的部份 以便進行刪除 然後 您可以執行修改過的防護記錄以刪除標記的物件 服務腳本適用於之前具有診斷系統問題經驗的進階使用者 不合格的修改可能會導致作業系統損毀 範例 如果您懷疑電腦已感染病毒 但防毒程式沒有偵測到 請遵循以下逐步說明 執行 ESET SysInspector 以產生新的系統快照 選取左側 (樹狀結構中) 區段中的第一個項目 按下 Shift 鍵並選取最後一個項目以標記所有項目 在選取的物件上按一下滑鼠右鍵 並選取 [將選取的區段匯出至服務腳本] 選取的物件會匯出至新的防護記錄 下列是整個程序的最重要步驟 開啟新的防護記錄 並將您想要移除的所有物件 -屬性變更成 + 請確認您沒 有標記任何重要的作業系統檔案/ 物件 6. 開啟 ESET SysInspector 按一下 [檔案] > [執行服務腳本] 然後輸入腳本的路徑 7. 按一下 [確定] 以執行腳本 產生 服 務 腳本 若要產生腳本 請在 ESET SysInspector 主視窗中以滑鼠右鍵按一下功能表樹狀結構 (左側窗格) 中的任何項目 接 著在內容功能表中選取 [將所有區段匯出至服務腳本] 或 [將選取的區段匯出至服務腳本] 附註 在比較兩份防護記錄時 無法匯出服務腳本 服 務 腳本 的 結 構 您可以在腳本檔頭的第一行發現引擎版本 (ev) GUI 版本 (gv) 及防護記錄版本 (lv) 的相關資訊 這些資料可讓您 追蹤產生腳本之. xml 檔案中可能存在的變更 以避免在執行期間發生任何不一致的情況 請勿改動腳本的此部 分 檔案的其他部分可分為多個區段 而這些區段中的項目是可編輯的項目 (表示將由腳本處理的項目) 將項目前 的 字元取代為 + 字元可將項目標記為要處理的項目 腳本中的各個區段是以空白的文字行做為區隔 每個 區段都有各自的編號和標題 01) 執行中的處理程序 此區段包含系統中所有執行之程序的清單 每個程序均可透過其 UNC 路徑及隨後之星號 (*) 間的 CRC16 雜湊碼 加以識別 範例 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...] 在此範例中 module32.exe 程序已經過選取 (前端有 + 字元標記) 程序將在執行腳本後結束 02) 載入的模組 此區段可列出目前使用的系統模組 77

78 範例 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...] 在此範例中 khbekhb.dll 模組前有 + 標記 執行腳本時 腳本能使用該特定的模組來辨識程序及結束程序 03) TCP 連線 此區段含有和現有 TCP 連線相關的資訊 範例 03) TCP connections: - Active connection: : > :55320, owner: ekrn.exe - Active connection: : > :50006, - Active connection: : > :30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...] 執行腳本時 腳本能尋找已標記之 TCP 連線的通訊端擁有者 接著再停止通訊端以釋放系統資源 04) UDP 端點 此區段含有和現有 UDP 端點相關的資訊 範例 04) UDP endpoints: , port 123 (ntp) , port , port 4500 (ipsec-msft) , port 500 (isakmp) [...] 執行腳本時 腳本能隔離已標記之 UDP 端點上的通訊端擁有者 然後再停止通訊端 05) DNS 伺服器項目 此區段含有和目前 DNS 伺服器配置相關的資訊 範例 05) DNS server entries: [...] 執行腳本時 已標記的 DNS 伺服器項目會遭到移除 06) 重要登錄項目 此區段含有和重要登錄項目相關的資訊 78

79 範例 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = [...] 執行腳本時 已標記的項目將遭到刪除 減少為 0 位元值或重設其預設值 要套用至特定項目的處理方法取決於 項目類別和特定登錄中的機碼值 07) 服務 此區段可列出系統內的已登錄服務 範例 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...] 執行腳本時 已標記之服務與其相依服務均會遭到停止及解除安裝 08) 驅動程式 此區段可列出已安裝的驅動程式 範例 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32 \drivers\adihdaud.sys, state: Running, startup: Manual [...] 您執行腳本時 選取的驅動程式將停止 請注意 部分驅動程式不允許自己停止 09) 重要檔案 此區段含有和作業系統正常運作所需重要之檔案相關的資訊 範例 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts localhost - ::1 localhost [...] 選取的項目將遭到刪除或重設為原始的值 79

80 執 行 服 務 腳本 標記所有需要的項目 接著再儲存及關閉腳本 選取 [檔案] 功能表中的 [執行服務腳本] 選項可直接從 ESET SysInspector 主視窗執行編輯過的腳本 開啟腳本時 程式會顯示下列訊息以資提示 您確定要執行服務腳本 % Scriptname% 嗎 確認您選取的項目後 畫面中會出現另一則警告 通知您嘗試執行的服務腳本尚未經過簽 署 按一下 [執行] 以啟動腳本 畫面中隨即會出現對話方塊視窗 確認腳本已成功執行 如果腳本只能部分執行 畫面中會出現對話方塊視窗並顯示下列訊息 已部分執行服務腳本 您想要檢視錯誤 報告嗎 選取 [是] 可檢視複雜的錯誤報告 此報告會列出未執行的作業 如果腳本無法辨識 畫面中會出現對話視窗並顯示下列訊息 選取的服務腳本尚未經過簽署 執行未簽署和 未知的腳本可能會嚴重損害您的電腦資料 您確定要執行腳本並執行處理方法嗎 這可能是由於腳本內容 不一致所引起的 (損壞的標題 損壞的區段標題 遺失區段間的空白文字行等) 您可以重新開啟腳本檔案並修正 腳本內容中的錯誤 或建立新的服務腳本 常 見 問 題 ESET SysInspector 是否需要管理員權限才能執行 ESET SysInspector 不需要管理員權限即可執行 然而收集的部分資訊需要透過管理員帳戶才能存取 以 標準使 用者 或 受限使用者 身分執行它 會導致收集到較少的作業環境資訊 ESET SysInspector 是否會建立防護記錄檔案 ESET SysInspector 可以建立電腦配置的防護記錄檔案 若要儲存一個防護記錄檔案 請從主要程式視窗中按一 下 [檔案] > [儲存防護記錄] 防護記錄會以 XML 格式儲存 依預設 檔案會儲存至 %USERPROFILE%\My Documents\ 目錄 檔案命名慣例為 " SysInpsector-%COMPUTERNAME%-YYMMDD-HHMM.XML" 如果需要 在儲存 之前 可以變更防護記錄檔案的位置和名稱 我如何檢視 ESET SysInspector 防護記錄檔案 若要檢視由 ESET SysInspector 建立的防護記錄檔案 請執行程式 然後按一下主要程式視窗中的 [檔案] > [開啟 防護記錄] 您也可以拖放防護記錄檔案至 ESET SysInspector 應用程式 如果您需要經常檢視 ESET SysInspector 防護記錄檔案 建議您在桌面上建立 SYSINSPECTOR.EXE 檔案的捷徑 接著您就可以將防護記錄檔案拖放至該捷 徑來進行檢視 基於安全性理由 Windows Vista/7 可能不允許在兩種不同安全性權限的視窗之間進行拖放 防護記錄檔案格式是否有可用的規格 或是有 SDK 目前 因為程式仍在開發中 尚未有防護記錄檔案的規格或 SDK 在程式發佈之後 我們會根據客戶意見及需求 提供這些規格 ESET SysInspector 如何評估特定物件所造成的風險 在大部分情況下 ESET SysInspector 會使用一系列的啟發式規則 (檢查每個物件的特性 然後衡量惡意活動潛在 的可能性) 來指派物件 (檔案 處理程序 登錄機碼等等) 的風險層級 根據這些啟發式規則 指派從 1 - 良好 (綠 色) 至 9 - 危險 (紅色) 的風險層級給物件 在左側的瀏覽窗格中 區段會根據其中所含物件的最高風險層級來設 定顏色 風險層級 6 - 未知 (紅色) 是否表示物件是危險的 ESET SysInspector 的評量不保證物件是惡意的 應由安全專家判定 ESET SysInspector 的設計是為安全性專家提 供快速評定 因此專家才能知道系統上哪個物件需要進一步檢查異常行為 為何 ESET SysInspector 在執行時要連接至網際網路 如同許多應用程式 ESET SysInspector 使用數位簽章 憑證 來簽署 以協助確保軟體是由 ESET 發佈 且未遭到 變更 為了驗證憑證 作業系統會聯絡憑證管理中心以驗證軟體發佈者的身分 此行為對所有 Microsoft Windows 的數位簽章程式來說是正常的 80

81 何謂反隱藏技術 反隱藏技術提供有效的隱藏程序 (Rootkit) 偵測 如果系統遭 Rootkit 方式的惡意程式攻擊 則使用者暴露在資料遺失或遭竊的風險中 若沒有特殊的反 Rootkit 工具 要偵測到 Rootkit 幾乎是不可能 為什麼有時候標記為 由 MS 簽署 的檔案同時間會有不同的 公司名稱 項目 嘗試辨識可執行檔的數位簽章時 ESET SysInspector 會先檢查內嵌在檔案內的數位簽章 如果找到數位簽章 則 會使用該資訊驗證檔案 如果找不到數位簽章 ESI 會開始尋找對應的 CAT 檔案 (安全性目錄 -%systemroot% \system32\catroot) 其中包含有關可執行檔案處理的資訊 如果找到相關的 CAT 檔案 該 CAT 檔案的數位簽章 將會套用到可執行檔案的驗證程序 這就是為什麼有時候標記為 由 MS 簽署 的檔案 公司名稱 項目不同的原因 E S E T S y s Ins p e c to r 是 E S E T File S e c urity 的 一 部 份 若要開啟 ESET File Security 中的 ESET SysInspector 區段 請按一下 [工具] > [ESET SysInspector] [ESET SysInspector] 視窗中的管理系統與電腦掃描防護記錄或已排程工作的管理系統相似 所有使用系統快照的作業 (建立 檢視 比較 移除及匯出) 按一或兩下即可存取 [ESET SysInspector] 視窗包含所建立快照的基本資訊 例如建立時間 簡短註解 建立快照的使用者名稱及快照 狀態 若要比較 建立或刪除快照 請使用 ESET SysInspector 視窗中位於快照清單下方的對應按鈕 那些選項也可從內 容功能表中取得 若要檢視選取的系統快照 請選取內容功能表中的 [顯示] 若要將選取的快照匯出至檔案 請 在該快照上按一下滑鼠右鍵 並選取 [匯出... ] 下列是可用選項的詳細說明 比較 - 可讓您比較兩份現有防護記錄 如果您想要追蹤目前防護記錄與較舊防護記錄之間的變更 即適用此 選項 若要使此選項生效 您必須選取兩份要進行比較的快照 建立... - 建立新的記錄 在此之前 您必須輸入關於記錄的簡短註解 若要找到 (目前已產生快照的) 快照建立 進度百分比 請參閱[狀態] 直欄 所有已完成快照都會標記為 [已建立] 狀態 刪除/ 全部刪除 - 從清單移除項目 匯出... - 將選取的項目儲存至 XML 檔案 (同時儲存為壓縮版本) E S E T S y s R e s c ue Liv e ESET SysRescue Live 是一套公用程式 可讓您建立包含 ESET Security 解決方案其中之一的開機磁碟 -可能是 ESET NOD32 Antivirus ESET Smart Security 或某些伺服器導向的產品 ESET SysRescue Live 的主要優點是 ESET Security 解決方案獨立於主機作業系統之外執行 且同時可以直接存取磁碟及檔案系統 因此它能夠移除一般無法刪除 的入侵 例如在作業系統執行時 進行刪除動作等 排 程 器 您可以在主要程式視窗的工具區段中找到排程器 排程器可以依據定義的參數來管理和啟動已排程的工作 排程器包含以表格形式列出的所有已排程工作清單 其顯示工作的參數 例如 [工作] 類型 工作 [名稱] [啟動 時間] 和 [上次執行時間] 如需詳細資料 請在工作上按兩下 查看已排程的工作概要 安裝完成後 會有一組 預先定義的工作 您也可以按一下 [新增工作] 按鈕建立新的已排程工作 當您以滑鼠右鍵按一下工作時 您可以選擇要執行的處理方法 以下是可用的處理方法 顯示工作詳細資訊 立即執行 新增... 編輯... 刪除 81

82 使用工作旁的核取方塊加以啟動/ 停用 若要編輯現有排定工作的配置 請在工作上按一下滑鼠右鍵並按一下 [編輯... ] 或選取要修改的工作 再按一下 [編輯] 按鈕 以下是預設 (預先定義) 的排程工作 防護記錄維護 定期自動更新 撥號連線後自動更新 使用者登入後自動更新 (此工作不是預設啟用) 自動啟動檔案檢查 (使用者登入後) 啟動檔案自動檢查 (成功更新病毒資料庫後) 自動先掃描 排 程 器 -新 增 工 作 若要在排程器中建立新工作 請按一下 [新增工作] 或按一下滑鼠右鍵並從內容功能表中選取 [新增] 精靈隨 即會開啟 並協助您建立已排程的工作 請參閱以下逐步說明 1. 輸入工作名稱並從下拉式功能表選取您想要的工作類型 執行外部應用程式 - 排程以執行外部應用程式 防護記錄維護 - 防護記錄檔案還包括已刪除記錄的剩餘部分 此工作會定期將防護記錄檔案中的記錄最 佳化 以確保有效運作 系統啟動檔案檢查 - 檢查系統啟動或登入時允許執行的檔案 建立電腦狀態快照 - 建立ESET SysInspector 電腦快照 -收集關於系統元件 (例如驅動程式 應用程式) 的 詳細資訊 並評估各個元件的風險層級 指定電腦掃描 - 針對電腦中的檔案及資料夾執行掃描 初次掃描 - 依預設 在安裝後 20 分鐘或電腦重新開機時 將以低優先順序工作級別執行電腦掃描 更新 - 更新病毒資料庫與程式模組來排程更新工作 Hyper-V 掃描 - 為 Hyper-V 內的虛擬磁碟排程掃描 82

83 2. 工作建立後 如果您要停用該工作 請按一下已啟用旁的切換鈕 之後您可以使用排程器視圖中的核取方塊 啟動工作 按一下 [下一步] 3. 選擇你想要執行已排程的工作的時間 一次 - 工作將只會在指定的日期和時間執行一次 重複 - 工作將在指定的時間間隔 (分鐘) 內執行 每日 - 工作會在每天指定的時間重複執行 每星期 - 工作每星期在選取的日期及時間執行一或多次 事件觸發 - 工作會在指定的事件之後執行 4. 如果您想要在使用電池執行系統時 (例如 UPS) 避免執行工作 請按一下使用電池執行時略過工作旁的切 換鈕 按一下 [下一步] 5. 如果工作無法在已排程的時間執行 您可以選擇工作的執行時間 於下次排程的時間 儘快 如果距離上次執行的時間超過指定值 則立即執行工作 (可以使用 [自上次執行後經過的時間] 選擇 器定義間隔) 6. 按一下 [下一步] 由於工作類型不同 可能需要指定 [工作詳細資訊] 完成後 請按一下 [完成] 新的已排 程工作將會出現在 [排程器] 視圖中 提 交 樣 本 以 供 分 析 樣本提交對話方塊可讓您將檔案或網站傳送至 ESET 以供分析 而這個對話方塊可在 [工具] > [提供樣本以分 析] 中找到 如果您在電腦中發現行跡可疑的檔案 或在網際網路中發現可疑的網站 您可以將其提交至 ESET 病毒實驗室以供分析 如果檔案證實為惡意的應用程式或網站 則其偵測會新增到近期的更新中 您也可以透過電子郵件來提交檔案 若要這麼做 請使用 WinRAR 或 WinZip 壓縮檔案 使用密碼 infected 來保 護壓縮檔 然後將其傳送至 samples@eset.com 請記得使用敘述性的主旨 並盡可能涵蓋檔案的相關資訊 (例 如下載的網站) 注意 在將樣本提交至 ESET 之前 請確定其符合下列一或多個條件 完全未偵測該檔案或網站 錯將該檔案或網站偵測為威脅 除非需要進一步的資訊以供分析 否則您將不會收到任何回應 從 [提交樣本的原因] 下拉式功能表中選取最符合您訊息的說明 可疑檔案 可疑網站 (受到惡意軟體感染的網站) 誤判檔案 (偵測為感染但實際上未受感染的檔案) 誤判網站 其他 檔案/ 網站 - 要提交的檔案或網站路徑 連絡人電子郵件 - 這個連絡人電子郵件會與可疑檔案一併傳送到 ESET 並可用於在需要進一步資訊以供分析 時連絡您 輸入連絡人電子郵件是選用選項 由於我們的伺服器每天都會接收到成千上萬個檔案 所以除非需 要更多資訊 否則我們不可能一一回覆 因此您將不會收到 ESET 的回應 83

84 可 疑 檔 案 觀察到的惡意軟體感染徵兆與信號 - 輸入在您電腦上觀察到的可疑檔案行為的說明 [檔案來源 (URL 位址或供應商)] - 請輸入檔案來源 並註明您在何種狀況下發現這個檔案 [附註與其他資訊] - 您可以在這裡輸入其他資訊或說明 這在識別可疑檔案的處理過程將會很有助益 注意 雖然第一個參數 -[觀察到的惡意軟體感染徵兆與信號] - 是必要參數 但是提供其他資訊將可大幅協助實 驗室對於樣本的識別處理程序 可 疑 網 站 請在 [網站有什麼問題] 下拉式功能表中選取下列其中一個選項 受感染 - 網站包含病毒或透過各種方法所散佈的其他惡意軟體 網路釣魚 - 通常用於騙取像是銀行帳號 PIN 碼等敏感資料 請在字彙中閱讀更多有關此類型攻擊的資訊 詐騙- 詐騙或詐欺網站 如果上述選項並不符合您要提交的網站 請選取 [其他] 附註與其他資訊 - 您可以在這裡輸入其他資訊或說明 這對於分析可疑網站將會很有助益 誤 判 檔 案 我們要求您提交偵測為感染但並未受感染的檔案 以便改善病毒及間諜程式防護引擎 並協助其他人受到防 護 如果檔案樣式符合病毒資料庫中所含的樣式 就會發生誤判 (FP) 應用程式名稱與版本 - 程式標題及其版本 (例如編號 別名或代碼名稱) 檔案來源 (URL 位址或供應商) - 請輸入檔案來源 並註明您在何種狀況下發現這個檔案 應用程式目的 - 一般應用程式說明 應用程式類型 (例如瀏覽器 媒體播放器... ) 及其功能 附註與其他資訊 - 您可以在這裡新增其他資訊或說明 這在處理可疑檔案時將會很有助益 注意 必須有前三個參數 才能識別合法應用程式並與惡意程式碼區分 提供其他資訊將可大幅協助實驗室識別 處理程序和處理樣本 誤 判 網 站 我們建議您提交偵測為感染 詐騙或網路釣魚但尚未受感染的檔案 如果檔案樣式符合病毒資料庫中所含的樣 式 就會發生誤判 (FP) 請提供此網站以改善我們的病毒及網路釣魚防護引擎 並協助其他人受到保護 附註與其他資訊 - 您可以在這裡新增其他資訊或說明 這在處理可疑檔案時將會很有助益 其 他 如果檔案無法歸類為可疑檔案或誤判 請使用這份表單 提交檔案的原因 - 請輸入詳細說明及傳送檔案的原因 84

85 隔 離 區 隔離區的主要功能是安全地儲存受感染檔案 對於無法清除 無法安全刪除或不建議刪除的檔案 或者 ESET File Security 錯誤偵測到的檔案 應該予以隔離 您可以選擇隔離任何檔案 如果檔案行為可疑 但防毒掃描器沒有偵測到 則建議進行隔離 您可將隔離的檔案 提交至 ESET 病毒實驗室進行分析 您可以在表格中檢視隔離資料夾中儲存的檔案 其中顯示隔離的日期與事件 受感染檔案原始位置的路徑 大 小 (以位元組為單位) 原因 (例如 由使用者新增... ) 以及威脅數量 (例如 包含多個入侵的壓縮檔) 隔離檔案 ESET File Security 會自動隔離刪除的檔案 (如果您尚未在警告視窗中停用此選項) 如果需要 您可以按一下 [隔 離] 手動隔離任何可疑檔案 隔離檔案將從隔離檔案原始位置移除 內容功能表也可用於此目的 -以滑鼠右鍵 按一下 [隔離區] 視窗 並選取 [隔離] 從隔離區還原 隔離的檔案還可還原至其原始位置 使用 [還原] 功能可從內容功能表取得 方法是以滑鼠右鍵按一下 [隔離區] 視窗中的指定檔案 如果檔案標記潛在不需要的應用程式 則可以使用 [還原並從掃描中排除] 選項 請在字彙 中閱讀更多有關此類型應用程式的資訊 內容功能表還提供 [還原到... ] 選項 可讓您將檔案還原到其原始刪除 位置外的其他位置 附註 如果程式錯誤地隔離了無惡意檔案 請在還原後從掃描中排除檔案 並將該檔案傳送至 ESET 客戶服務 從隔離區提交檔案 如果您已隔離程式未偵測到的可疑檔案 或錯誤地將檔案判定為受感染 (例如以代碼的啟發式分析) 且因此隔 離 請將檔案傳送至 ESET 病毒實驗室 若要從隔離提交檔案 請在檔案上按一下滑鼠右鍵 並從內容功能表選 取 [提交檔案以供分析] 85

86 7.7 說明及支援 ESET File Security 包含疑難排解工具及支援資訊 可幫助您解決可能遇到的問題 說明 搜尋 ESET 知識庫 - ESET 知識庫包含常見問題的解答 以及各種問題的建議解決方案 ESET 技術專家會定期更 新知識庫 使其成為解決各種類型問題的最強工具 開啟說明 - 按一下此連結以啟動 ESET File Security 說明頁面 尋找快速解決方案 - 選取此選項 以尋找常見問題的解決方案 建議您在連絡技術支援之前 先閱讀此部分 客戶服務 提交支援要求 - 若您找不到問題的解答 您也可以使用這份位於 ESET 網站上的表單來快速連絡我們的 客戶 服務 部門 支援工具 威脅百科全書 -ESET 威脅百科全書的連結 其中包含有關危險以及不同入侵類型徵兆的相關資訊 ESET Log Collector - 連至 ESET Log Collector 下載頁面的連結 Log Collector 是可自動收集伺服器配置和防護記 錄等資訊的應用程式 能協助您快速解決問題 如需關於 ESET Log Collector 的詳細資訊 請參閱線上說明 病毒資料庫歷程 - 可連結至 ESET 病毒雷達 其中包含 ESET 病毒資料庫的版本資訊 [ESET 專用清除程式] - 此清除程式會自動識別並移除一般惡意軟體 如需相關資料 請造訪 ESET 知識庫文 章 產品和授權資訊 關於 ESET File Security- 顯示 ESET File Security 副本的相關資訊 啟動產品 / 管理授權 - 按一下以啟動 [產品啟動] 視窗 選取其中一種可用方法來啟動 ESET File Security 使 用 說明 本章涵蓋某些最常問的問題 以及最常遇到的問題 按一下主題標題 以瞭解如何解決您的問題 如何更新 ESET File Security 如何啟動 ESET File Security 如何排程掃描工作 (每隔 24 小時) 如何從我的伺服器移除病毒 自動排除運作方式 如果上面列出的說明頁面中不包括您的問題 請嘗試依關鍵字搜尋 或在 ESET File Security 說明頁面中輸入要搜 尋之說明問題的單字或片語 如果您在 [說明頁面] 內找不到問題的解決方案 您可以嘗試我們定期更新的線上知識庫 必要的話 您可以直接連絡我們的線上技術支援中心 以解決您的問題 您可以在 ESET 程式的 [說明及支援] 索 引標籤中找到連絡人表單 86

87 如 何 更 新 E S E T File S e c urity 您可以手動也可以自動執行 ESET File Security 更新 若要觸發更新 請按一下 [立即更新] 您會在程式 [更新] 區 段中找到此按鈕 預設安裝設定會建立每小時執行的自動更新工作 如果需要變更間隔 請瀏覽至 [排程器] (如需 排程器 的相 關資訊 請按一下這裡) 如 何 啟 動 E S E T File S e c urity 安裝完成之後 系統將提示您啟動您的產品 有數個方法可啟動您的產品 啟動視窗中可使用的特定啟動狀況會視國家及發行方法 (CD/DVD ESET 網頁等) 而 異 若要從程式直接啟動 ESET File Security 的副本 請按一下系統匣圖示 並從功能表中選取 [產品未啟動] 您 也可以在 [說明及支援] > [啟動產品] 下的主要功能表或在 [防護] 狀態 > [產品未啟動] 中啟動您的產品 您也可以使用下列任何一種方法來啟動 ESET File Security 授權金鑰 - 採用格式 XXXX-XXXX-XXXX-XXXX-XXXX 的唯一字串 可供您用來識別授權擁有者和授權的啟動 Security Admin - 從 ESET License Administrator 入口網站使用憑證 (電子郵件地址 +密碼) 所建立的帳戶 這個方 法可讓您從一個位置管理多個授權 離線授權檔案 -自動產生的檔案 其將傳輸到 ESET 產品以提供授權資訊 您的離線授權檔案是從授權入口網 站產生 且將用於應用程式無法連接到授權單位的環境 如果您的電腦是受管理網路的成員 而且您的管理員將透過 ESET Remote Administrator 執行遠端啟動 請以 ESET Remote Administrator 按一下 [稍後啟動] 如果您想要稍後再啟動此用戶端 也可以使用此選項 您可以在主要程式視窗中選取 [說明及支援] > [管理授權] 以便隨時管理您的授權資訊 您將可看見用來依 ESET 識別產品公用授權 ID 以及授權識別 電腦用來註冊的使用者名稱儲存在 [關於] 區段 以滑鼠右鍵按一下系 統匣圖示 就能檢視 注意 ESET Remote Administrator 可透過管理員提供的授權 無訊息地啟動用戶端電腦 如 何 在 排 程 器 中 建 立 新 的 工 作 若要在排程器中建立新工作 請按一下 [新增工作] 或按一下滑鼠右鍵並從內容功能表中選取 [新增] 精靈隨 即會開啟 並協助您建立已排程的工作 請參閱以下逐步說明 1. 輸入工作名稱並從下拉式功能表選取您想要的工作類型 執行外部應用程式 - 排程以執行外部應用程式 防護記錄維護 - 防護記錄檔案還包括已刪除記錄的剩餘部分 此工作會定期將防護記錄檔案中的記錄最 佳化 以確保有效運作 系統啟動檔案檢查 - 檢查系統啟動或登入時允許執行的檔案 建立電腦狀態快照 - 建立ESET SysInspector 電腦快照 -收集關於系統元件 (例如驅動程式 應用程式) 的 詳細資訊 並評估各個元件的風險層級 指定電腦掃描 - 針對電腦中的檔案及資料夾執行掃描 初次掃描 - 依預設 在安裝後 20 分鐘或電腦重新開機時 將以低優先順序工作級別執行電腦掃描 更新 - 更新病毒資料庫與程式模組來排程更新工作 Hyper-V 掃描 - 為 Hyper-V 內的虛擬磁碟排程掃描 2. 工作建立後 如果您要停用該工作 請按一下已啟用旁的切換鈕 之後您可以使用排程器視圖中的核取方塊 啟動工作 按一下 [下一步] 3. 選擇你想要執行已排程的工作的時間 一次 - 工作將只會在指定的日期和時間執行一次 重複 - 工作將在指定的時間間隔 (分鐘) 內執行 87

88 每日 - 工作會在每天指定的時間重複執行 每星期 - 工作每星期在選取的日期及時間執行一或多次 事件觸發 - 工作會在指定的事件之後執行 4. 如果您想要在使用電池執行系統時 (例如 UPS) 避免執行工作 請按一下使用電池執行時略過工作旁的切 換鈕 按一下 [下一步] 5. 如果工作無法在已排程的時間執行 您可以選擇工作的執行時間 於下次排程的時間 儘快 如果距離上次執行的時間超過指定值 則立即執行工作 (可以使用 [自上次執行後經過的時間] 選擇 器定義間隔) 6. 按一下 [下一步] 由於工作類型不同 可能需要指定 [工作詳細資訊] 完成後 請按一下 [完成] 新的已排 程工作將會出現在 [排程器] 視圖中 如 何 從 您 的 伺 服 器 移 除 病 毒 如果您的電腦顯示感染惡意軟體的徵兆 (例如 速度變慢 頻繁凍結) 我們建議您執行下列動作 1. 從主要 ESET File Security 視窗 按一下 [電腦掃描] 2. 按一下 [智慧型掃描] 開始掃描您的系統 3. 完成掃描之後 請檢閱已掃描 受感染及已清除的檔案防護記錄 4. 如果您想要僅掃描磁碟的某一部分 請選擇 [自訂掃描] 並選取要進行病毒掃描的目標 如需其他資訊 請參閱我們定期更新的知識庫文章 如 何 排 程 掃 描 工 作 (每 隔 24 小 時 ) 若要排程定期的工作 請移至 [ESET File Security] > [工具] > [排程器] 以下步驟將引導您建立工作 以在每 24 小 時掃描您的本機磁碟 若要排程掃描工作 1. 在主要 [排程器] 畫面按一下 [新增工作] 並輸入 [工作名稱] 2. 從下拉式功能表中選取 [指定電腦掃描] 3. 工作建立後 如果您要停用該工作 請按一下已啟用旁的切換鈕 之後您可以使用排程器視圖中的核取方 塊啟動工作 4. 設定排程器工作以 重複執行 工作將在指定的時間間隔 (1440 分鐘) 內執行 5. 如果您想要在使用電池執行系統時 (例如 UPS) 避免執行工作 請按一下 [使用電池執行時略過工作] 旁 的切換鈕 6. 按一下 [下一步] 7. 如果已排程的工作執行由於任何原因而失敗 請選取要執行的處理方法 於下次排程的時間 儘快 如果距離上次執行的時間超過指定值 則立即執行工作 (可以使用 [自上次執行後經過的時間] 選 擇器定義間隔) 8. 按一下 [下一步] 9. 從 [目標] 下拉式功能表中 選取 [本機磁碟] 10. 按一下 [完成] 以套用工作 88

89 7.7.2 提 交 支 援 要 求 為要盡可能快速準確的提供協助 ESET 需要 ESET File Security 配置相關的資訊 系統 處理程序的詳細資訊 (ESET SysInspector 防護記錄檔案) 和登錄資料 ESET 只會將此資料用於提供客戶技術協助 提交 Web 表單時 您的系統配置資料會提交至 ESET 如果要記住此處理程序的此處理方法 請選取 [永遠提交 此資訊] 若要提交表單而不要傳送任何資料 請選取 [請勿提交資料] 然後您可以使用線上支援表單來連絡 ESET 客戶服務 此設定也可從 [進階設定] 視窗配置 (按下鍵盤上的 F5 鍵) 按一下 [工具] > [診斷] > [客戶服務] 附註 如果您選擇要提交系統資料 您必須填寫並提交 Web 表單 否則不會建立您的票證 而且您的系統資料會遺 失 E S E T 專 用 清 除 程 式 ESET 專用清除程式是一般惡意軟體感染 (例如 Conficker Sirefef 或 Necurs) 的移除工具 如需詳細資訊 請造訪 此 ESET 知識庫文章 關 於 E S E T File S e c urity 此視窗會提供已安裝的 ESET File Security 版本 視窗頂端則包含作業系統及系統資源的相關資訊 目前使用者 和完整電腦名稱 89

90 [已安裝的元件] 包含模組資訊 按一下 [已安裝的元件] 以檢視已安裝元件的清單和其詳細資料 按一下 [複 製] 以複製清單至您的剪貼簿 當您進行疑難排解和連絡 技術支援 部門時 這樣做很有助益 產品 啟 動 安裝完成之後 系統將提示您啟動您的產品 有數個方法可啟動您的產品 啟動視窗中可使用的特定啟動狀況會視國家及發行方法 (CD/DVD ESET 網頁等) 而 異 若要從程式直接啟動 ESET File Security 的副本 請按一下系統匣圖示 並從功能表中選取 [產品未啟動] 您 也可以在 [說明及支援] > [啟動產品] 下的主要功能表或在 [防護] 狀態 > [產品未啟動] 中啟動您的產品 您也可以使用下列任何一種方法來啟動 ESET File Security 授權金鑰 - 採用格式 XXXX-XXXX-XXXX-XXXX-XXXX 的唯一字串 可供您用來識別授權擁有者和授權的啟動 Security Admin - 從 ESET License Administrator 入口網站使用憑證 (電子郵件地址 +密碼) 所建立的帳戶 這個方 法可讓您從一個位置管理多個授權 離線授權檔案 -自動產生的檔案 其將傳輸到 ESET 產品以提供授權資訊 您的離線授權檔案是從授權入口網 站產生 且將用於應用程式無法連接到授權單位的環境 如果您的電腦是受管理網路的成員 而且您的管理員將透過 ESET Remote Administrator 執行遠端啟動 請以 ESET Remote Administrator 按一下 [稍後啟動] 如果您想要稍後再啟動此用戶端 也可以使用此選項 您可以在主要程式視窗中選取 [說明及支援] > [管理授權] 以便隨時管理您的授權資訊 您將可看見用來依 ESET 識別產品公用授權 ID 以及授權識別 電腦用來註冊的使用者名稱儲存在 [關於] 區段 以滑鼠右鍵按一下系 統匣圖示 就能檢視 90

91 注意 ESET Remote Administrator 可透過管理員提供的授權 無訊息地啟動用戶端電腦 註 冊 填妥註冊表格中的包含欄位 並按一下 [繼續] 來註冊您的授權 用括號標示必要的是必填欄位 此資訊僅用於 與您 ESET 授權相關的事宜 安 全 管 理 員 啟 動 安全管理員 帳戶是用您的 [電子郵件地址] 和 [密碼] 在授權入口網站上建立的帳戶 此帳戶可供您查看所有 基座授權 您可以用 安全管理員 帳戶來管理多個授權 若您未擁有 安全管理員 帳戶 請按一下 [建立帳戶] 接著系統 會將您重新導向到 ESET License Administrator 網頁 供您在其中註冊憑證 若您忘記自己的密碼 請按一下 [忘記密碼 ] 接著系統會將您重新導向到 ESET 商業入口網站 請輸入您的電 子郵件地址 並按一下 [提交] 以確認 完成之後 您將收到一封包含重設密碼指示的郵件 注意 如需有關使用 ESET License Administrator 的詳細資訊 請參閱ESET License Administrator 使用者手冊 啟 動 失 敗 ESET File Security 啟動失敗 確定您已經輸入正確的 [授權金鑰] 或已附加 [離線授權] 若您有不同的 [離線授 權] 請再次輸入 若要檢查您輸入的授權金鑰 請按一下 [重新檢查授權金鑰] 或者按一下 [購買新的授權] 然後會將您重新導向至我們的網頁 您可以在此處購買新的授權 授 權 如果您選擇了安全管理員啟動選項 您將收到選取與要用於 ESET File Security 帳戶相關授權的提示 按一下 [啟 動] 以繼續 啟 動 進 度 ESET File Security 現在正在啟動 請耐心稍候 這可能需要一段時間 啟 動 成 功 啟動成功 ESET File Security 現在已啟動 從現在開始 ESET File Security 會收到定期更新以識別最新的威脅 並 確保電腦受到防護 按一下 [完成] 以完成產品啟動 91

92 8. 使用 ESET File Security 您可以在 [進階設定] 視窗中 根據自身需求來配置設定和選項 左邊的功能表包含下列類別 病毒 - 啟用或停用潛在不需要之不安全且可疑的應用程式偵測 指定排除 即時檔案系統防護 指定電腦掃 描和 Hyper-V 掃描等 更新 - 配置設定檔的清單 建立更新檔案的快照 更新來源資訊 (例如所使用的更新伺服器 以及這些伺服器 的驗證資料) Web 和電子郵件 - 允許您配置電子郵件用戶端防護 通訊協定過濾 Web 存取防護等 裝置控制 - 設定裝置控制規則和群組 工具 - 允許您自訂工具 例如 ESET LiveGrid 防護記錄檔案 Proxy 伺服器 叢集等 使用者介面 - 配置程式圖形使用者介面 (GUI) 的行為 狀態 授權資訊等 當您在左邊的功能表中按一下項目 (類別或子類別) 時 右邊索引標籤會顯示該項目的相關設定 8.1 病毒防護 您可以在 [設定] > [電腦] 下找到 [電腦] 模組 該處會顯示上一章介紹的防護模組概要 這個區段提供您使用下 列設定 即時檔案系統防護 指定電腦掃描 閒置狀態掃描 啟動掃描 可移除的媒體 文件防護 HIPS 所有防護模組的掃描器選項 (例如即時檔案系統防護 Web 存取防護等) 皆可讓您啟用或停用以下項目的偵測 功能 [潛在不需要的應用程式] (PUA) 不一定是惡意的 但是對電腦效能可能會造成負面影響 請在字彙中閱讀更多有關這些類型應用程式的資訊 潛在不安全的應用程式是指合法但可能不當用於惡意用途的商業軟體 例如遠端存取工具 密碼破解應用 程式及鍵盤記錄程式 (記錄每次使用者按鍵的程式) 等 皆為潛在不安全的應用程式 依預設會停用此選 項 請在字彙中閱讀更多有關這些類型應用程式的資訊 [潛在可疑的應用程式] 包括以壓縮器或保護程式壓縮的程式 惡意軟體作者通常會使用這些類型的保護 程式規避偵測 反隱藏技術是一種精密的系統 能偵測例如 Rootkit 等危險程式 這些危險程式可隱藏於作業系統中 使用一 般測試技術無法偵測到它們 [程序排除] 可讓您排除特定程序 例如 備份解決方案的程序 系統會略過所有可歸因於排除程序的檔案作 業並將其視為安全 因此可將備份程序的干擾降到最低 [排除] 可讓您從掃描中排除檔案及資料夾 為確保所有物件已掃描是否存在威脅 我們建議您只有在絕對必 要時建立排除 在某些情況下 您可能需要排除可能包含掃描大型資料庫項目的物件 因其在掃描期間或是 軟體與掃描衝突時 可能會降低電腦速度 92

93 8.1.1 偵 測 到 入 侵 入侵可以從網頁 共用資料夾等不同的進入點透過電子郵件 或從可移除的裝置 (USB 外部磁碟 CD DVD 磁 碟片等) 到達系統 標準行為 做為 ESET File Security 處理入侵的一般範例 入侵的偵測可使用 即時檔案系統防護 Web 存取防護 電子郵件用戶端防護 指定電腦掃描 個別使用標準清除層級 並且將嘗試清除檔案並移至隔離區或終止連線 通知視窗會顯示在畫面右下角的通知 區域中 如需有關清除層級和行為的詳細資訊 請參閱清除 清除及刪除 如果沒有要針對即時檔案系統防護採取的預先定義處理方法 則會提示您在警告視窗中選取一個選項 通常可 以使用 [清除] [刪除] 及 [不進行處理] 選項 不建議選取 [不進行處理] 因為它不會清除受感染的檔案 但若 您確定檔案無害 只是因失誤而偵測為入侵 則可破例選用此選項 如果已將惡意程式碼連接至檔案的病毒已攻擊檔案 則套用清除 如果是這種情況 請先嘗試清除受感染的檔 案 以將其還原為原始狀態 如果該檔案僅由惡意程式碼組成 則會刪除該檔案 如果受感染的檔案 已鎖定 或正由系統程序使用 則通常只會在釋放之後才會刪除它 (通常在系統重新啟動 後) 多種威脅 如果在電腦掃描期間沒有清除任何受感染的檔案 (或清除層級設為 [不清除]) 則警告視窗會提示您針對顯示的 那些檔案選取處理方法 針對清單中的每一項威脅個別選取動作 或者您可以使用 [對所有列出的威脅選取處 理方法] 並選擇要對清單中所有威脅執行的動作 然後按一下 [完成] 刪除壓縮檔中的檔案 在預設清除模式中 只有在整個壓縮檔包含受感染的檔案而不包含未感染檔案時 才會刪除它 也就是說 如果 壓縮檔還包含無害的未感染檔案 則不會進行刪除 執行完全清除掃描時請小心 因為啟用完全清除後 當壓縮 檔內含有至少一個受感染的檔案時 即會刪除壓縮檔 無論壓縮檔中其他檔案的狀態為何 如果您的電腦正在顯示惡意程式感染的信號 例如速度更慢 頻繁凍結等 我們建議您執行下列各項 開啟 ESET File Security 然後按一下 [電腦掃描] 按一下 [智慧型掃描] (如需詳細資訊 請參閱電腦掃描) 完成掃描之後 請檢閱已掃描 受感染及已清除的防護記錄 如果您僅想要掃描磁碟的某一部分 請按一下 [自訂掃描] 並選取要進行病毒掃描的目標 程 序 排 除 此功能可讓您僅從防毒即時監控掃描中排除應用程式的程序 這些排除有助於將潛在衝突的風險降至最低 並 提升排除應用程式的效能 因此對作業系統的整體效能具有正面效果 排除某個程序時不會監控執行檔 ESET File Security 不會監控排除程序的活動 且不會針對該程序執行的任何檔 案作業執行任何掃描 按一下 [新增] [編輯] 及 [移除] 來管理程序排除 範例 Web 存取防護不會考量此排除 因此如果您排除 Web 瀏覽器的執行檔 系統仍會掃描下載的檔案 如此一 來 系統仍可偵測到入侵 此案例僅為範例 且我們不建議針對 Web 瀏覽器建立排除 93

94 8.1.3 自 動 排 除 伺服器應用程式及作業系統的開發人員建議許多重要的工作檔案及資料夾排除在大多數產品的防毒掃描之外 防毒掃描對於伺服器的效能有負面影響 會導致衝突 甚至會使得某些應用程式無法在伺服器上執行 排除有 助於將潛在衝突的風險降至最低 並提升執行防毒軟體時的伺服器整體效能 ESET File Security 可識別重要的伺服器應用程式及伺服器作業系統檔案 並自動將這些新增至排除清單中 在 [要產生的自動排除] 下方 您可以看到已為其建立排除之已偵測到的伺服器應用程式的清單 所有的自動排除 皆預設為已啟用 您可以按一下切換以停用/ 啟用每個伺服器應用程式 結果如下 如果應用程式/ 作業系統排除持續啟用 任何重要的檔案及資料夾將新增至排除在掃描之外的檔案清單 ([進 階設定] >[病毒防護] > [基本] > [排除] > [編輯]) 每次伺服器重新啟動時 系統都將執行排除的自動檢查 並 還原已從清單刪除的任何排除 如果您要確定建議的自動排除持續套用 這是建議的設定 如果使用者停用應用程式/ 作業系統排除 任何重要的檔案及資料夾將留存於排除在掃描之外的檔案清單 ([進階設定] >病毒防護 > [基本] > [排除] > [編輯]) 不過 每次伺服器重新啟動時 (見以上點 1) 不會自動在 [排除] 清單檢查和更新這些檔案及資料夾 建議此設定由想要移除或修改某些標準排除的進階使用者使用 如果您想要從清單移除排除而不重新啟動伺服器 則需要從清單手動移除排除 ([進階設定] > [病毒防護] > [基本] > [排除] > [編輯]) 任何手動輸入的使用者定義排除 (在 [進階設定] >病毒防護 > [基本] > [排除] > [編輯]) 將不受以上所述的設定 所影響 共 用 本 機 快 取 ESET 共用本機快取會減少網路中的重複掃描 進而提高虛擬環境的效能 這樣可確保每個檔案僅會掃描一次 並存放在共用快取中 開啟 [快取選項] 切換 將掃描您網路中檔案與資料夾的資訊儲存到本機快取 若您執行新掃描 ESET File Security 將搜尋快取中的已掃描檔案 若檔案相符 則其將從掃描中排除 快取伺服器包括下列設定 主機名稱 - 快取所在電腦的名稱或 IP 位址 連接埠 - 用於通訊的連接埠號碼 (與共用本機快取中的設定相同) 密碼 - 指定共用本機快取密碼 (如果需要的話) 94

95 8.1.5 即 時 檔 案 系 統 防 護 即時檔案系統防護控制系統中與防毒相關的所有事件 開啟 建立或在電腦上執行所有檔案時 都會掃描這些 檔案是否具有惡意程式碼 在系統啟動時會啟動即時檔案系統防護 依預設 即時檔案系統防護會在系統啟動時同時啟動 並持續提供掃描 在特殊情況下 (例如 如果與其他即時 掃描器發生衝突) 則可以解除 [即時檔案系統防護] > [基本] 下 [進階] 設定中的 [自動啟動即時檔案系統防 護] 以停用即時防護 要掃描的媒體 依預設 會掃描所有媒體類型是否有潛在的威脅 本機磁碟 - 控制所有系統硬碟 [可移除的媒體] - 控制 CD/DVD USB 儲存裝置 藍芽裝置等 網路磁碟 - 掃描所有對應的磁碟機 我們建議使用預設值設定 只有在特殊情況下才修改這些設定 例如 掃描某些媒體而明顯減慢資料傳送時 執行掃描的時間 依預設 在開啟 建立或執行時會掃描所有檔案 我們建議您保留預設設定 因為這些預設值會為電腦提供最高 等級的即時防護 [開啟檔案] - 啟用/ 停用在開啟檔案時掃描 [建立檔案] - 啟用/ 停用在建立檔案時掃描 [執行檔案] - 啟用/ 停用在執行檔案時掃描 可移除媒體存取 - 啟用或停用存取有儲存空間的特定可移除媒體所觸發的掃描 [關閉電腦] - 啟用或停用關閉電腦所觸發的掃描 95

96 即時檔案系統防護會檢查所有媒體類型 而且各種系統事件 (例如存取檔案) 都會觸發掃描 使用 ThreatSense 技術偵測方法 (如 ThreatSense 參數一節所述) 即時檔案系統防護可設定為將新建立檔案視為與現有檔案不同 例如 您可以設定即時檔案系統防護以更密切監視新建立的檔案 為確保在使用即時防護時佔用最低的系統使用量 已掃描的檔案不予重複掃描 (除非已經過修改) 每次更新病 毒資料庫之後 會立即重新掃描檔案 使用 [智慧型最佳化] 可控制此行為 如果停用智慧型最佳化 則所有檔 案都會在每次存取時進行掃描 若要修改此設定 按一下 F5 以開啟 [進階設定] 並展開病毒防護 > [即時檔案系 統防護] 請按一下 [ThreatSense 參數] > [其他] 並選取或取消選取 [啟用智慧型最佳化] 排 除 [排除] 可讓您從掃描中排除檔案及資料夾 為確保所有物件已掃描是否存在威脅 我們建議您只有在絕對必要 時建立排除 在某些情況下 您可能需要排除某些大型資料庫項目在掃描期間或是軟體與掃描衝突時 可能會 降低電腦速度的物件 例如 備份軟體 警告 請注意不要與排除的副檔名混淆 若要從掃描中排除物件 按一下 [新增] 並輸入物件的路徑或在樹狀結構中進行選取 您可以使用萬用字元來涵蓋一組檔案 問號 (?) 代表一個變數字元 而星號 (*) 代表含有零或多個字元的變數字 串 範例 如果您想要排除資料夾中的所有檔案 請輸入資料夾的路徑並使用遮罩 *.* 若要排除包含所有檔案與子資料夾的整個磁碟機 請使用遮罩 D:\* 如果您只想要排除 doc 檔案 請使用遮罩 *.doc 如果執行檔的名稱具有特定數目的字元 (且字元不同) 但您只確定第一個字元 (例如 D ) 請使用下列格 式 D????.exe (問號取代遺漏/ 未知字元) 範例 @NAME=Win32/Bagle.D 範例 您可以使用星號 * 來表示資料夾名稱 例如 C:\Users\*\Application Data\ 更多個使用星號的排除範例 C:\Tools - 將會自動轉換為 C:\Tools\*.* C:\Tools\*.dat - 將會排除工具資料夾中的 dat 檔案 C:\Tools\sg.dat - 將會排除在確切路徑中的此檔案 96

97 注意 如果檔案符合條件排除掃描的條件 即時檔案系統防護模組或電腦掃描模組便無法偵測到該檔案內的威脅 直欄 路徑 - 排除檔案及資料夾的路徑 [威脅] - 如果排除檔案旁顯示出有威脅的名稱 則代表該檔案只是因為指定威脅而排除 如果該檔案在稍後被 其他惡意軟體感染 則防毒模組仍會偵測到它 此類排除僅適用於特定類型的入侵 並可在報告入侵的威脅警 告視窗 (按一下 [顯示進階選項] 然後選取 [從偵測中排除]) 中建立 或透過選取 [工具] > [隔離區] 用右鍵按 一下隔離檔案 然後選取內容功能表中的 [還原並從掃描中排除] 控制項元素 新增 - 從偵測中排除物件 編輯 - 可讓您編輯已選取的項目 移除 - 移除已選取的項目 97

98 新 增 或 編 輯 排 除 此對話方塊視窗可讓您新增或編輯排除 可使用兩種方式完成 輸入要排除的物件路徑 在樹狀結構中選取 (按一下位於文字欄位結尾的... 來瀏覽功能) 如果使用第一種方法 則可以使用排除格式區段中說明的萬用字元 [排除此電腦/ 排除路徑] - 排除特定威脅或此電腦的特定路徑 [排除所有威脅/ 威脅名稱] - 排除套用於潛在不需要的應用程式 潛在不安全的應用程式及可疑的應用程式 附註 在啟用這兩個設定時 您無法建立排除 您可以使用萬用字元來涵蓋一組檔案 問號 (?) 代表一個變數字元 而星號 (*) 代表含有零或多個字元的變數字 串 範例 如果您想要排除資料夾中的所有檔案 請輸入資料夾的路徑並使用遮罩 *.* 若要排除包含所有檔案與子資料夾的整個磁碟機 請使用遮罩 D:\* 如果您只想要排除 doc 檔案 請使用遮罩 *.doc 如果執行檔的名稱具有特定數目的字元 (且字元不同) 但您只確定第一個字元 (例如 D ) 請使用下列格 式 D????.exe (問號取代遺漏/ 未知字元) 範例 @NAME=Win32/Bagle.D 範例 您可以使用星號 * 來表示資料夾名稱 例如 C:\Users\*\Application Data\ 更多個使用星號的排除範例 C:\Tools - 將會自動轉換為 C:\Tools\*.* C:\Tools\*.dat - 將會排除工具資料夾中的 dat 檔案 C:\Tools\sg.dat - 將會排除在確切路徑中的此檔案 98

99 排 除 格 式 您可以使用萬用字元來涵蓋一組檔案 問號 (?) 代表一個變數字元 而星號 (*) 代表含有零或多個字元的變數字 串 範例 如果您想要排除資料夾中的所有檔案 請輸入資料夾的路徑並使用遮罩 *.* 若要排除包含所有檔案與子資料夾的整個磁碟機 請使用遮罩 D:\* 如果您只想要排除 doc 檔案 請使用遮罩 *.doc 如果執行檔的名稱具有特定數目的字元 (且字元不同) 但您只確定第一個字元 (例如 D ) 請使用下列格 式 D????.exe (問號取代遺漏/ 未知字元) 範例 @NAME=Win32/Bagle.D 範例 您可以使用星號 * 來表示資料夾名稱 例如 C:\Users\*\Application Data\ 更多個使用星號的排除範例 C:\Tools - 將會自動轉換為 C:\Tools\*.* C:\Tools\*.dat - 將會排除工具資料夾中的 dat 檔案 C:\Tools\sg.dat - 將會排除在確切路徑中的此檔案 T hre a ts e ns e 參 數 ThreatSense 是由許多複雜威脅偵測方法組成之技術 此技術是主動式的 也就是說該技術也可在新威脅擴散初 期提供防護 其使用代碼分析 代碼模擬 一般資料庫和病毒資料庫的組合 共同合作以大幅增強系統安全性 掃描引擎可以同時控制數個資料串流 以最大化效能及偵測率 ThreatSense 技術還可以順利消除 rootkit 注意 如需有關自動啟動檔案檢查的詳細資訊 請參閱啟動掃描 ThreatSense 引擎設定選項可讓您指定數個掃描參數 要掃描的檔案類型及副檔名 各種偵測方法的組合 清除層級等 若要進入設定視窗 請按一下任何使用 ThreatSense 技術之模組 [進階設定] 視窗中的 [ThreatSense 引擎參數設 定] (如下所示) 不同的安全情況可能需要不同的設定 瞭解這一點之後 就可針對下列防護模組 分別進行 ThreatSense 配置 Hyper-V 掃描 即時檔案系統防護 閒置狀態掃描 啟動掃描 文件防護 電子郵件用戶端防護 Web 存取防護 99

100 每個模組的 ThreatSense 參數都已高度最佳化 其修改對系統作業有很大影響 例如 將參數變更為一律掃描運 行時間壓縮器 或在即時檔案系統防護模組中啟用進階啟發式可能會導致系統速度減慢 (通常 使用這些方法 僅掃描新建立的檔案) 除了 電腦掃描 之外 我們建議您不要變更任何模組的預設 ThreatSense 參數 要掃描的物件 此區段可讓您定義要掃描是否有入侵的電腦元件及檔案 [作業記憶體] - 掃描攻擊系統作業記憶體的威脅 開機磁區 - 掃描開機磁區的 MBR (主要開機記錄) 中是否有病毒 若為 Hyper-V 虛擬機器 其磁碟 MBR 是以唯 讀模式進行掃描 電子郵件檔案 - 程式支援下列副檔名 DBX (Outlook Express) 及 EML 壓縮檔 - 程式支援下列副檔名 ARJ BZ2 CAB CHM DBX GZIP ISO/BIN/NRG LHA MIME NSIS RAR SIS TAR TNEF UUE WISE ZIP ACE 及許多其他副檔名 自我解壓檔 - 自我解壓檔 (SFX) 是不需要特定程式 (壓縮程式) 即可自行解壓縮的壓縮檔 加殼技術虛擬機偵測 - 執行之後 加殼技術虛擬機偵測 (不同於標準壓縮檔類型) 會在記憶體中解壓縮 除了 標準靜態壓縮器 (UPX yoda ASPack FSG 等) 掃描器還能透過使用代碼模擬 辨識幾種其他類型的壓縮器 掃描選項 選取在掃描系統是否有入侵時使用的方法 可用選項如下 啟發式 - 啟發式是分析程式 (惡意) 活動的演算法 這項技術的主要優點是可以識別不存在或先前病毒資料庫 不瞭解的惡意軟體 [進階啟發式/ DNA 簽章] - 進階啟發式是由 ESET 開發的獨特啟發式演算法所組成 經過最佳化以偵測電腦蠕 蟲及特洛伊木馬程式 並以高階程式設計語言撰寫 使用進階啟發式能大幅提高 ESET 產品的威脅偵測能力 簽章可以可靠地偵測及識別病毒 採用自動更新系統 發現威脅數個小時之後便有可用的新病毒碼 病毒碼 的缺點是僅偵測瞭解的病毒 (或這些病毒略微修改的版本) 清除 清除設定會決定在掃描器清除受感染檔案期間的行為 有 3 個清除層級 不清除 - 不會自動清除受感染的檔案 程式會顯示警告視窗並允許使用者選擇處理方法 此層級針對進階使用 者而設計 進階使用者瞭解出現入侵時需採取哪些步驟 正常清除 - 程式會根據預先定義的處理方法 (視入侵的類型而定) 嘗試自動清除或刪除受感染檔案 畫面右下角 會顯示通知 表示受感染檔案的偵測及刪除 如果無法自動選取正確的處理方法 則程式會提供其他的後續處 理方法 無法完成預先定義的處理方法時 程式也會提供後續處理方法的選項 完全清除 - 程式會清除或刪除所有受感染檔案 只有系統檔案例外 當無法清除檔案時 系統將詢問使用者要 執行哪一種處理方法 警告 如果壓縮檔包含受感染的檔案 則您可以選用兩個選項來處理壓縮檔 在預設模式的 [正常清除] 中 如果所 有包含的檔案受到感染 整個壓縮檔將會刪除 在 [完全清除] 模式中 當壓縮檔內含有至少一個受感染的檔 案時 即會刪除壓縮檔 無論壓縮檔中其他檔案的狀態為何 重要 如果 Hyper-V 主機是在 Windows Server 2008 R2 上執行 則不支援 [正常清除] 和 [完全清除] 虛擬機器磁碟 的掃描是以唯讀模式執行 將不會執行清除 不論您所選取的清理層級為何 掃描一律會以唯讀模式執行 排除 副檔名是檔案名稱中以句點隔開的部份 副檔名定義檔案的類型及內容 此 ThreatSense 參數設定的區段可讓您 定義要從掃描排除的檔案類型 其他 100

101 配置 [指定電腦掃描] 的 ThreatSense 引擎參數設定時 [其他] 區段也有以下可用選項 掃描替代資料串流 (ADS) NTFS 檔案系統使用的替代資料串流是使用一般掃描技術無法看到的檔案及資料夾 關聯 許多入侵會透過將自己偽裝為替代資料串流來嘗試躲避偵測 以低優先順序執行背景掃描 - 每個掃描序列都會消耗大量的系統資源 如果處理的程式佔有大量的系統資 源 則可以啟動低優先順序背景掃描 從而節省應用程式的資源 記錄所有物件 - 如果已選取此選項 則防護記錄檔案會顯示所有已掃描的檔案 (包括未受感染的檔案) 例 如 如果壓縮檔內發現入侵 防護記錄將同時列出壓縮檔內的其他檔案 啟用智慧型最佳化 - 啟用 智慧型最佳化 時 會使用最佳設定以確保最有效率的掃描層級 同時維持最快的 掃描速度 各種防護模組都會聰明地掃描 利用不同的掃描方式並將其套用至特定的檔案類型 若停用 智慧 型最佳化 則當執行掃描時 只會套用特定模組的 ThreatSense 核心中使用者定義的設定 保存最後一次的存取時間郵戳 - 選取此選項 以保留掃描檔案的原始存取時間 而不會更新該時間 (例如 以用於資料備份系統) 限制 [限制] 區段可讓您指定物件的大小上限 以及要掃描的巢狀保存檔層級 物件設定 預設物件設定 - 啟用以使用預設設定 (無限制) ESET File Security 將會忽略您的自訂設定 物件大小上限 - 定義要掃描的物件大小上限 然後 指定的防毒模組只會掃描小於所指定大小的物件 只有 進階使用者基於特定的理由 才應變更此選項來排除掃描較大物件 預設值 無限制 物件的掃描時間上限 (秒) - 定義掃描物件的時間值上限 如果已在這裡輸入使用者定義的值 則當該時間到 期 防毒模組會停止掃描物件 無論掃描是否完成 預設值 無限制 壓縮檔掃描設定 壓縮檔巢狀層級 - 指定壓縮檔掃描的深度上限 預設值 10 針對信箱傳輸防護偵測到的物件 實際巢狀層級為 +1 因為電子郵件中的壓縮檔附件視為第一層級 例如 若您將巢狀層級設為 3 則只會在傳輸層達到實際層級 2 時 掃描巢狀層級 3 的壓縮檔 因此 若您想要信箱傳輸防護達到層級 3 時掃描壓縮檔 請將 [壓縮檔巢狀層 級] 的值設為 4 壓縮檔中檔案的大小上限 - 此選項可讓您指定要掃描的壓縮保存檔中 所包含檔案的大小上限 (解壓縮時) 預 設值 無限制 附註 我們不建議變更預設值 在正常情況下 應該沒有要修改的理由 從 掃 描 中 排 除 的 檔 案 副 檔 名 副檔名是檔案名稱中以句點隔開的部份 副檔名定義檔案的類型 通常會掃描所有檔案 不過 如果您需要執行 具有特定副檔名的檔案 ThreatSense 參數設定讓您可以從掃描中根據副檔名排除檔案 如果掃描特定檔案會讓 應用程式無法正確執行 則可以使用排除功能 範例 若要將新的副檔名新增至清單 請按一下 [新增] 在文字欄位中輸入副檔名 (例如 tmp) 並按一下 [確定] 當您 選取 [輸入多個值] 您可以新增多個以行 逗號或分號分隔的檔案副檔名 (例如 從下拉式功能表中選擇 [分 號] 作為分隔符號 然後輸入 edb;eml;tmp) 您可以使用特殊符號? (問號) 問號代表任何字符 (例如?db) 附註 若要在 Windows 作業系統內顯示所有檔案的副檔名 (檔案類型) 請取消選取 [控制台] > [資料夾選項] > [檢 視] 下的 [隱藏已知檔案類型的副檔名] 101

102 其 他 T hre a ts e ns e 參 數 用於新建立及已修改檔案的其他 ThreatSense 參數 - 新建立或已修改檔案感染的可能性高於現有的檔案 這 正是為何程式會以額外的掃描參數檢查這些檔案的原因 除了常見的病毒碼掃描方法 也會使用進階啟發式在 病毒資料庫更新發行前先偵測新的威脅 除了新建立的檔案之外 可針對自我解壓檔 (.sfx) 及 運行時間壓縮器 (內部壓縮的執行檔案) 執行掃描 依預設 至多可以掃描至保存檔的第 10 層巢狀層級 並不論其實際大小都會 進行檢查 若要修改壓縮檔掃描設定 請停用 [預設壓縮檔掃描設定] 若要瞭解有關 [加殼技術虛擬機偵測] [自我解壓檔] 和 [進階啟發式] 的更多資訊 請參閱ThreatSense 引擎 參數設定 [用於已執行檔案的其他 ThreatSense 參數] - 根據預設 執行檔案時會使用進階啟發式 啟用時 我們強烈建議 您保持啟用智慧型最佳化和 ESET LiveGrid 以減輕對系統效能的影響 清 除 層 級 即時防護具有三個清除層級 (若要存取清除層級設定 請按一下 [即時檔案系統防護] 區段中的 [ThreatSense 參 數] 區段 從下拉式清單中選取所需的清除層級 不清除 - 不會自動清除受感染的檔案 程式會顯示警告視窗並允許使用者選擇處理方法 此層級針對進階使用 者而設計 進階使用者瞭解出現入侵時需採取哪些步驟 正常清除 - 程式會根據預先定義的處理方法 (視入侵的類型而定) 嘗試自動清除或刪除受感染檔案 畫面右下角 會顯示通知 表示受感染檔案的偵測及刪除 如果無法自動選取正確的處理方法 則程式會提供其他的後續處 理方法 無法完成預先定義的處理方法時 程式也會提供後續處理方法的選項 完全清除 - 程式會清除或刪除所有受感染檔案 只有系統檔案例外 當無法清除檔案時 系統將詢問使用者要 執行哪一種處理方法 警告 如果壓縮檔包含受感染的檔案 則您可以選用兩個選項來處理壓縮檔 在預設模式的 [正常清除] 中 如果所 有包含的檔案受到感染 整個壓縮檔將會刪除 在 [完全清除] 模式中 當壓縮檔內含有至少一個受感染的檔 案時 即會刪除壓縮檔 無論壓縮檔中其他檔案的狀態為何 重要 如果 Hyper-V 主機是在 Windows Server 2008 R2 上執行 則不支援 [正常清除] 和 [完全清除] 虛擬機器磁碟 的掃描是以唯讀模式執行 將不會執行清除 不論您所選取的清理層級為何 掃描一律會以唯讀模式執行 何 時 修 改 即 時 防 護 配 置 即時檔案系統防護是維護系統安全的最重要組成部分 修改其參數時請務必小心 建議您僅在特定情況中修改 其參數 ESET File Security 的所有設定在安裝後即已最佳化 為使用者提供最高層級的系統安全 若要還原預設設定 請 按一下視窗中每個索引標籤旁的 ([進階設定] >[病毒防護] > [即時檔案系統防護]) 檢 查 即 時 防 護 若要驗證即時防護正在運作並偵測病毒 請使用來自 eicar.com 的測試檔案 此測試檔案是所有防毒程式都可偵 測到的無害檔案 該檔案由 EICAR (European Institute for Computer Antivirus Research) 公司建立 以測試防毒程 式的功能 此檔案的下載連結為 102

103 即 時 防 護 無 法 運 作 時 怎 麼 辦 在本章中 我們說明使用即時防護時可能發生的問題 以及如何疑難排解這些問題 已停用即時防護 如果使用者不小心停用即時防護 則需要重新啟動它 若要重新啟動即時防護 請瀏覽至主要程式視窗的 [設 定] 並且按一下 [即時檔案系統防護] 如果在系統啟動時未啟動即時保護 則通常是由於已取消選取 [自動啟動即時檔案系統防護] 的緣故 若要啟 用此選項 請瀏覽至 [進階設定] (F5) 並按一下 [進階設定] 區段中的 [電腦] > [病毒及間諜程式防護] > [基 本] 請確定 [自動啟動即時檔案系統防護] 已經開啟 如果即時防護不會偵測及清除入侵 請確定電腦上未安裝任何其他防毒程式 如果同時啟用兩個即時保護程式 則它們可能互相衝突 我們建議您 先解除安裝系統上的任何其他防毒程式 再安裝 ESET 即時防護未啟動 如果在系統啟動時未啟動即時保護 (且已啟用 [自動啟動即時檔案系統保護]) 則可能是由於與其他程式發生 衝突 如需解決此問題的協助 請連絡 ESET 客戶服務 提 交 您可以選取將檔案和統計資訊提交給 ESET 的方式 對於將以任何可用方式提交的檔案和統計資料 請選取 [透 過 Remote Administrator 或直接提交至 ESET] 選項 選取 [透過 Remote Administrator] 選項將檔案和統計資料 提交給遠端管理員伺服器 如此可確保後續提交給 ESET 威脅實驗室 如果選取 [直接提交至 ESET] 則會將所有 可疑檔案及統計資訊直接從程式傳送至 ESET 病毒實驗室 檔案提交擱置時 則可使用 [立即提交] 按鈕 按一下此按鈕即可立即提交檔案及統計資訊 選取 [啟用防護記錄] 可建立防護記錄 以記錄檔案及統計資訊提交 統 計 ThreatSense.Net 預早警告系統 會收集與新偵測到之威脅相關的匿名電腦資訊 此資訊可包括入侵名稱 偵測 日期及時間 ESET 安全產品版本 作業系統版本 以及位置設定 在一般情況下 每天會將統計傳遞到 ESET 伺服 器一或兩次 提交的統計套件範例如下所示 # # # # # # # # # utc_time= :21:28 country= Slovakia language= ENGLISH osver= NT engine=5417 components= moduleid=0x4e4f4d41 filesize=28368 filename=c:\documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8 提交時間 - 您可以定義提交統計資訊的時間 如果您選擇儘快提交 則統計資訊在建立之後會立即傳送 此設 定適用於具有永久網際網路連線時 如果選取 [更新時] 統計資訊會在下次更新時一併提交 103

104 可 疑 檔 案 [可疑檔案] 索引標籤可讓您配置將威脅提交至 ESET 威脅實驗室進行分析的方法 如果您找到可疑檔案 您可以提交給我們的威脅實驗室進行分析 若檔案為惡意的應用程式 則其偵測會新增 到下一個病毒資料庫更新 檔案提交可設定為自動進行 如果想知道已提交哪些檔案進行分析 並確認提交 可選取 [提交前詢問我] 如果您不想提交任何檔案 選取[不提交檔案以供分析] 選取 [不提交任何檔案以供分析] 不會影響在各自設定 中配置的統計資訊提交 (請參閱統計一節) 提交時間 - 預設選取 [儘快] 選項 將可疑檔案傳送至 ESET 的威脅實驗室 如果具有永久網際網路連線時建議 使用此選項 會儘快傳遞可疑檔案 選取 [更新時] 選項 可疑檔案便會在下次更新時上傳到 ThreatSense.Net 排除過濾 - [排除過濾] 可讓您排除某些不提交的檔案/ 資料夾 例如 您可使用此選項 排除可能包含機密資訊 的檔案 例如文件或試算表 依預設 最常見的檔案類型 (.doc 等) 均會被排除在外 如果需要 您可以新增到排 除檔案清單中 連絡人電子郵件 - 傳送任何可疑的檔案時會連同連絡人電子郵件 [選用] 一併傳送 在分析時若需要您提供進 一步的資訊 便可利用這個電子郵件連絡您 請注意 除非需要更多資訊 否則您將不會收到 ESET 的任何回應 指 定 電 腦 掃 描 與 H y p e r-v 掃 描 此區段提供用於選取掃描參數的選項 已選取的設定檔 - 指定掃描器使用的特定參數集 若要建立新設定檔 請按一下 [設定檔清單] 旁的 [編輯] 注意 此掃描設定檔選擇器適用於指定電腦掃描與 Hyper-V 掃描 如果只要掃描特定的目標 請按一下 [掃描目標] 旁的 [編輯] 從下拉式功能表中選擇選項 或從資料夾 (樹狀 目錄) 結構中選取特定目標 104

105 [掃描目標] 視窗可讓您定義掃描入侵的物件 (記憶體 磁碟機 磁區 檔案及資料夾) 從列出電腦上所有可用裝 置的樹狀結構中選取目標 [掃描目標] 下拉式功能表可讓您選取預先定義的掃描目標 使用設定檔設定 - 選取所選掃描設定檔中設定的目標 可移除媒體 - 選取磁碟片 USB 儲存裝置 CD/DVD 本機磁碟機 - 選取所有系統硬碟 網路磁碟機 - 選取所有對應的網路磁碟機 共用資料夾 - 選取本機伺服器上共用的所有資料夾 不選擇 - 清除所有選擇 Hyper -V 下拉式功能表的 [掃描目標] 可讓您選取預先定義的掃描目標 使用設定檔設定 - 選取所選掃描設定檔中設定的目標 所有虛擬機器 - 選取所有虛擬機器 開啟電源的虛擬機器 - 選取所有線上虛擬機器 開啟電源的虛擬機器 - 選取所有離線虛擬機器 不選擇 - 清除所有選擇 請按一下 ThreatSense 參數以修改指定電腦掃描器的掃描參數 (例如偵測方法) 自 訂 掃 描 與 H y p e r-v 掃 描 啟 動 器 如果只要掃描特定的目標 您可以使用 [自訂掃描] 然後從 [掃描目標] 下拉式功能表中選擇選項 或從資料夾 (樹狀目錄) 結構中選取特定目標 注意 此掃描目標選擇器適用於自訂掃描與 Hyper-V 掃描 [掃描目標] 視窗可讓您定義掃描入侵的物件 (記憶體 磁碟機 磁區 檔案及資料夾) 從列出電腦上所有可用裝 置的樹狀結構中選取目標 [掃描目標] 下拉式功能表可讓您選取預先定義的掃描目標 使用設定檔設定 - 選取所選掃描設定檔中設定的目標 可移除媒體 - 選取磁碟片 USB 儲存裝置 CD/DVD 本機磁碟機 - 選取所有系統硬碟 網路磁碟機 - 選取所有對應的網路磁碟機 共用資料夾 - 選取本機伺服器上共用的所有資料夾 不選擇 - 清除所有選擇 Hyper -V 下拉式功能表的 [掃描目標] 可讓您選取預先定義的掃描目標 使用設定檔設定 - 選取所選掃描設定檔中設定的目標 所有虛擬機器 - 選取所有虛擬機器 開啟電源的虛擬機器 - 選取所有線上虛擬機器 開啟電源的虛擬機器 - 選取所有離線虛擬機器 不選擇 - 清除所有選擇 若要快速瀏覽至掃描目標 或新增新的目標檔案或資料夾 請將其輸入到資料夾清單下方的空白欄位 僅當樹 狀結構中沒有選取任何目標 且掃描目標功能表設為不選擇時才可以這樣做 105

106 [自訂掃描] 快顯視窗 如果您只對掃描系統有興趣 且不使用其他清除處理方式 請選取 [掃描但不清除] 當您只想要概括瞭解是否 有受感染的項目或是取得有關這些感染的詳細資訊 (如有) 此功能可派上用場 您可以按一下 [設定] > [ThreatSense 參數] > [清除] 以從三種清除層級中選擇 掃描的相關資訊會儲存在掃描防護記錄中 當您選取 [忽略排除] 時 該選項可讓您執行掃描並忽略可能適用的排除項目 [Hyper-V 掃描] 快顯視窗 (請參閱Hyper-V 掃描以取得詳細資訊) 您可以從 [掃描設定檔] 下拉式功能表中選擇用於掃描所選目標的設定檔 預設的設定檔是 [智慧型掃描] 還 有兩個預先定義的掃描設定檔 名稱分別是 [深入掃描] 與 [內容功能表掃描] 這些掃描設定檔會使用不同的 ThreatSense 引擎參數. 按一下 [設定... ] 以詳細地配置從掃描設定檔功能表中選擇的掃描設定檔 ThreatSense 引擎參數設定中有可用選項的說明 106

107 按一下[儲存] 以儲存目標選項中所執行的變更 (包括在資料夾樹狀結構內所進行的選取) 按一下 [掃描] 使用您已設定的自訂參數來執行掃描 [以管理員身分掃描] 可讓您在管理員帳戶下執行掃描 若目前的使用者權限不足 無法存取要掃描的適當檔案 時 請按一下此選項 請注意 如果目前的使用者無法以管理員身分呼叫 UAC 作業 則無法使用此按鈕 掃 描 進 度 掃描進度視窗顯示掃描的目前狀態 以及發現包含惡意程式碼的檔案數目 注意 通常無法掃描某些檔案 例如密碼保護的檔案或系統專用的檔案 (一般是 pagefile.sys 及某些防護記錄檔案) 掃描進度 - 進度列可顯示已掃描物件與待掃描物件的狀態 此掃描進度狀態衍生自掃描中包括的物件總數 目標 - 目前掃描的物件名稱及其位置 發現威脅 - 顯示掃描期間找到的威脅總數 暫停 - 暫停掃描 繼續 - 當掃描進度暫停時 則可看見此選項 按一下 [繼續] 以繼續掃描 停止 - 終止掃描 捲動掃描防護記錄 - 如果啟用 掃描防護記錄將在加入新項目時自動向下捲動 以顯示最新的項目 107

108 您可以在掃描期間按一下 [更多資訊] 來查看詳細資料 例如執行掃描的 [使用者] [已掃描的物件] 的數量以 及掃描 [持續時間] 108

109 掃 描 防 護 記 錄 掃描防護記錄視窗顯示掃描的目前狀態 以及發現包含惡意程式碼的檔案數目 注意 在每個區段中 選取項目並按一下 [複製] 可將顯示的資訊複製到剪貼簿 (鍵盤快捷鍵 Ctrl + C) CTRL 和 SHIFT 鍵可用來選取多個項目 按一下切換圖示 [過濾] 開啟 [防護記錄過濾] 視窗 您可以在其中定義過濾條件 若要檢視以下的內容功能表選項 請在特定記錄上按一下滑鼠右鍵 顯示 - 顯示有關在新視窗中所選取防護記錄的詳細資訊 (與按兩下相同) 過濾相同的記錄 - 此功能會啟動防護記錄過濾並只顯示與所選記錄相同的記錄類型 過濾器... - 按一下此選項之後 會出現 [防護記錄過濾] 視窗 可讓您定義特定防護記錄項目的過濾條件 啟用過濾 - 啟動過濾設定 第一次啟動過濾 您必須定義設定 停用過濾 - 關閉過濾 (與按一下底部的切換相同) 複製 - 將選取的/ 強調的記錄資訊複製到剪貼簿 全部複製 - 複製視窗中所有記錄的資訊 刪除 - 刪除選取/ 強調的記錄 -此動作需要管理員權限才能執行 全部刪除 - 刪除視窗中的所有記錄 -此動作需要管理員權限才能執行 匯出... - 匯出選取的/ 強調的記錄資訊至 XML 檔案 全部匯出... - 將視窗中的所有資訊匯出至 XML 檔案 尋找... - 開啟 [在防護記錄中尋找] 視窗可讓您定義搜尋條件 即使在過濾功能開啟時 您也可以使用搜尋功 能找出特定記錄 尋找下一筆 - 使用先前定義的搜尋條件尋找下一筆項目 尋找前一筆 - 尋找前一筆項目 109

110 捲動防護記錄 - 將此選項保持在啟用狀態 以自動捲動舊的防護記錄 並且檢視 [防護記錄檔案] 視窗中的 作用中防護記錄 設 定 檔 管 理 程 式 設定檔管理程式是用於 ESET File Security 中的兩個區段 -[指定電腦掃描] 區段和 [更新] 區段 指定電腦掃描 您偏好的掃描參數可儲存供未來掃描時使用 我們建議您盡量為定期進行的掃描建立不同設定檔 (含有各種掃 描目標 掃描方法及其他參數) 若要建立新的設定檔 請開啟 [進階設定] 視窗 (F5) 然後按一下[病毒防護] > [指定電腦掃描] 然後按一下 [設定檔清單] 旁的 [編輯] 列出現有掃描設定檔的 [已選取的設定檔] 下拉式功能表 若要協助您建立掃描設 定檔以符合您的需求 請參閱ThreatSense 引擎參數設定一節 以取得每個掃描設定參數的說明 範例: 假設您要建立您自己的掃描設定檔且 智慧型掃描 配置有部分適用 但不要掃描運行時間壓縮器或潛在 不安全的應用程式 並且要套用 [完全清除] 在 [設定檔管理程式] 視窗中輸入新設定檔的名稱並按一下 [新 增] 從 [已選取的設定檔] 下拉式功能表中選取新設定檔 並調整剩餘的參數以符合您的需求 接著按一下 [確 定] 以儲存新的設定檔 更新 [更新設定] 區段中的設定檔編輯器可讓使用者建立新的更新設定檔 只有在您的電腦使用多種方法來連接更 新伺服器時 才需要建立自訂更新設定檔 其中一個例子 就是膝上型電腦 它通常會連接至區域網路中的本機伺服器 (Mirror) 但是與區域網路中斷連線 (出差) 時 需要直接從 ESET 的更新伺服器下載更新 並使用兩種設定檔 第一個連接至本機伺服器 另一個連接 至 ESET 的伺服器 在設定這些設定檔之後 請瀏覽至 [工具] > [排程器] 並編輯更新工作參數 指定一個設定檔 為主要設定檔 另一個為次要設定檔 已選取的設定檔 - 目前使用的更新設定檔 若要變更 請從下拉式功能表選擇設定檔 設定檔清單 - 建立新的設定檔或編輯更新設定檔 掃 描 目 標 [掃描目標] 視窗可讓您定義掃描入侵的物件 (記憶體 磁碟機 磁區 檔案及資料夾) 從列出電腦上所有可用裝 置的樹狀結構中選取目標 [掃描目標] 下拉式功能表可讓您選取預先定義的掃描目標 使用設定檔設定 - 選取所選掃描設定檔中設定的目標 可移除媒體 - 選取磁碟片 USB 儲存裝置 CD/DVD 本機磁碟機 - 選取所有系統硬碟 網路磁碟機 - 選取所有對應的網路磁碟機 共用資料夾 - 選取本機伺服器上共用的所有資料夾 不選擇 - 清除所有選擇 Hyper -V 下拉式功能表的 [掃描目標] 可讓您選取預先定義的掃描目標 110 使用設定檔設定 - 選取所選掃描設定檔中設定的目標 所有虛擬機器 - 選取所有虛擬機器 開啟電源的虛擬機器 - 選取所有線上虛擬機器 開啟電源的虛擬機器 - 選取所有離線虛擬機器 不選擇 - 清除所有選擇

111 暫 停 已 排 程 的 掃 描 您可延後已排程的掃描 如果您要延後電腦掃描 請設定 [停止已排程的掃描於 (分鐘)] 選項的值 閒 置 狀 態 掃 描 您可以在 [進階設定] 中啟用閒置狀態掃描 或按一下 [F5] 然後瀏覽至 [病毒防護] > [閒置狀態掃描] > [基 本] 設定 [啟用病毒防護] 旁的切換選項以啟用此功能 電腦在閒置狀態時 會在所有本機磁碟機上執行無訊 息電腦掃描 依預設 當電腦 (筆記型電腦) 使用電池的電源時 閒置狀態掃描器不會執行 您可以在進階設定中選取 [即使 電腦電源來自電池仍然要執行] 旁的核取方塊以覆寫此設定 開啟 [進階設定] 內的 [啟用記錄] 切換選項 或按一下 [F5] 以記錄防護記錄檔案區段內的電腦掃描輸出 (在主要 程式視窗中按一下 [防護記錄檔案] 並從下拉式功能表中選擇防護記錄類型 [電腦掃描]) 閒置狀態偵測會在電腦進入以下狀態時執行 已關閉螢幕或螢幕保護程式 電腦鎖定 使用者登出 請按一下 ThreatSense 參數以修改閒置狀態掃描器的掃描參數 (例如偵測方法) 啟 動 掃 描 依預設 在系統啟動和病毒資料庫更新時 將執行啟動檔案自動檢查 這項掃描是由排程器配置及工作所控制 啟動掃描選項是 [系統啟動檔案檢查] 排程器工作的一部分 若要修改啟動掃描設定 請瀏覽至 [工具] > [排程 器] 並且按一下 [啟動檔案自動檢查] 及 [編輯... ] 在最後一個步驟中 [啟動檔案自動檢查] 視窗將出現 (請參 閱下一章以取得詳細資訊) 如需排程器工作建立及管理的詳細指示 請參閱建立新工作 自 動 啟 動 檔 案 檢 查 建立 系統啟動檔案檢查 排程工作時 有數個選項可供您調整下列參數 [掃描目標] 下拉式功能表可指定系統啟動時執行的檔案掃描深度 系統會根據下列條件依遞增順序排列檔案 僅最常使用的檔案 (掃描的檔案最少) 經常使用的檔案 常使用的檔案 很少使用的檔案 所有登錄的檔案 (掃描的檔案最多) 此亦會包括兩個特定 [掃描目標] 群組 使用者登入前執行的檔案 - 包含在使用者不用登入即可存取之位置中的檔案 (包含幾乎所有的啟動位置 例 如服務 瀏覽器 Helper 物件 Winlogon 通知 Windows 排程器項目 已知 DLL 等) 使用者登入後執行的檔案 - 包含在只有使用者登入後才能存取之位置中的檔案 (包含僅針對特定使用者執 行的檔案 一般是 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中的檔案) 每個上述群組的待掃描檔案清單是固定的 掃描優先順序 - 用於決定何時開始掃描的優先順序層級 正常 - 平均系統負載 較低 - 低系統負載 最低 - 系統負載可能最低時 閒置時 - 只有在系統閒置時才會執行工作 111

112 8.1.9 可 移 除 的 媒 體 ESET File Security 提供自動可移除媒體 (CD/DVD/USB) 掃描 此模組可讓您掃描插入的媒體 若電腦管理員想要 避免使用者使用含有來路不明內容的可移除媒體時 這功能便非常實用 插入可移除媒體之後要採取的處理方法 - 選取預設處理方法 在將可移除媒體裝置插入電腦之後執行 (CD/ DVD/USB) 如果選取 [顯示掃描選項] 則會顯示通知 讓您選擇想要的處理方法 不掃描 - 不執行任何處理方法 且會關閉 [偵測到新裝置] 視窗 自動裝置掃描 - 將針對已插入的可移除媒體裝置執行指定電腦掃描 顯示掃描選項 - 開啟 [可移除的媒體設定] 區段 插入可移除的媒體後會顯示下列對話方塊 立即掃描 - 將會觸發掃描可移除的媒體 稍後掃描 - 將延後掃描可移除的媒體 設定 - 開啟 [進階設定] 永遠使用選取的選項 - 選取後 在其他時間插入可移除媒體後會執行相同的處理方法 此外 ESET File Security 具備裝置控制功能 能夠讓您定義指定電腦使用外部裝置的規則 在裝置控制一節中可 找到裝置控制的詳細資訊 文 件 防 護 文件防護功能可在 Microsoft Office 文件開啟前先行掃描文件 以及掃描 Internet Explorer 自動下載的檔案 (如 Microsoft ActiveX 元素) 文件防護在即時檔案系統防護之外再提供一層防護 若停用可增強無須處理大量 Microsoft Office 文件的系統效能 [整合至系統] 可啟動防護系統 若要修改此選項 請按 F5 開啟 [進階設定] 視窗 然後按一下[病毒防護] > [文件防護] 如需有關文件防護設定的詳細資訊 請參閱ThreatSense 參數 使用 Microsoft Antivirus API 的應用程式 (如 Microsoft Office 2000 與更新版本 或 Microsoft Internet Explorer 5.0 與更新版本) 可啟動此功能 112

113 H IP S 主機入侵預防系統 (HIPS) 能保護您的系統抵抗惡意軟體以及任何嘗試對電腦產生不良影響的不需要活動 HIPS 利用進階行為分析再加上網路過濾的偵測能力 可監視執行中的程序 檔案及登錄機碼 HIPS 與即時檔案 系統防護各自獨立 且不是防火牆 它只會監視在作業系統內執行的處理程序 警告 HIPS 設定若要變更 僅能由有經驗的使用者執行 未正確配置的 HIPS 設定可能導致系統不穩定 HIPS 設定可以在此找到 [進階設定] 樹狀目錄 (F5) >[病毒防護] > [HIPS] 便可找到 HIPS 設定 HIPS 狀態 (啟用/ 停用) 顯示在 [電腦] 區段右側 [設定] 索引標籤的 ESET File Security 主程式視窗中 ESET File Security 有內建的[自我保護]技術 可防止惡意軟體損毀或停用您的病毒及間諜程式防護 因此能確定 系統隨時受到保護 [啟用 HIPS] 和 [啟用 SD (自我保護)] 設定的變更會在 Windows 作業系統重新啟動後生效 停用整個 HIPS 系統也需要重新啟動電腦 [進階記憶體掃描器] 可與惡意探索封鎖程式一起搭配 強化對抗惡意軟體在整個利用欺騙或加密時 對惡意軟 體防護產品所啟用偵測功能的規避動作 進階記憶體掃描器依預設已啟用 請在字彙中閱讀更多有關此類型防 護的資訊 惡意探索封鎖程式是設計用來強化常遭利用的應用程式類型的防護 例如 Web 瀏覽器 PDF 閱讀器 郵件用戶 端和 MS Office 元件 惡意探索封鎖程式依預設已啟用 請在字彙中閱讀更多有關此類型防護的資訊 過濾可使用以下四種模式其中之一執行 自動模式 - 系統會啟用作業 但受到保護系統的預先定義規則封鎖的作業除外 智慧型模式 - 僅會通知使用者關於非常可疑的事件 互動模式 - 系統將提示使用者確認作業 原則型模式 - 系統會封鎖作業 學習模式 - 系統會啟用作業 且每次作業後會建立規則 以此模式建立的規則可在 [規則編輯器] 中檢視 但 與手動建立的規則或自動模式下建立的規則相較之下 其優先順序較低 當您從 [HIPS 過濾模式] 下拉式功能 113

114 表選取 [學習模式] 即可使用 [學習模式將在下列情況結束] 設定 選取您要啟用學習模式的持續時間 (最長 為 14 天) 過了指定的持續時間之後 會提示您在學習模式中編輯 HIPS 建立的規則 您可以選擇不同的過濾 模式 或者延後決定並持續使用學習模式 HIPS 系統監控作業系統中的事件 並根據類似個人防火牆規則的規則執行反應動作 按一下 [編輯] 開啟 HIPS 規則管理視窗 在此您可以選取 建立 編輯或刪除規則 更多關於規則建立與 HIPS 作業的詳情可在 編輯規 則 一章中取得 若規則的預設處理方法已設定為 [詢問] 每次觸發規則時都會出現對話方塊視窗 您可以選擇 [封鎖] 或 [允許] 作業 如果您不在指定時間內選擇處理方法 則會根據規則選取新處理方法 對話視窗可讓您根據 HIPS 偵測的任何新處理方法來建立規則 然後定義允許或封鎖該處理方法所依據的條件 按一下 [更多資訊] 可存取確實的參數設定 系統認定使用此方法建立的規則等於手動建立的規則 因此由對話 視窗建立的規則無需像觸發該對話視窗的規則那般明確 這表示 建立此類規則後 同樣的作業可以觸發相同 的視窗 [暫時記住此程序的這個處理方法] 會造成使用處理方法 ([允許/ 封鎖]) 直到規則或過濾模式變更 HIPS 模組 更新或系統重新啟動為止 在進行上述三個處理方法的任何之一後 則會刪除暫時的規則 H IP S 規 則 此視窗為您提供現有 HIPS 規則的概觀 直欄 規則 - 使用者定義或自動選擇的規則名稱 啟用 - 如果您想要將規則保留在清單中 但不想使用它 請停用此切換選項 處理方法 - 本規則指出條件正確時應執行的處理方法 包括 [允許] [封鎖] 或 [詢問] 來源 - 只有當事件是由此應用程式觸發時 才會使用此規則 目標 - 只有當作業與特定檔案 應用程式或登錄項目相關時 才會使用此規則 防護記錄 - 如果您啟動此選項 有關此規則的資訊將寫入 HIPS 防護記錄 通知 - 若觸發事件 右下角將出現一個小的快顯視窗 114

115 控制項元素 新增 - 建立新規則 編輯 - 可讓您編輯已選取的項目 移除 - 移除已選取的項目 範例 在下列範例中 我們將說明如何限制應用程式發生不想要的行為 1. 命名規則 並選取 [處理方法] 下拉式功能表中的 [封鎖] 2. 啟用 [通知使用者] 切換選項 以在每次套用規則時顯示通知 3. 請至少選取一個要套用規則的作業 在 [來源應用程式] 視窗中 從下拉式功能表選取 [所有應用程式] 將您的新規則套用至所有嘗試在您指定的應用程式上執行任何已選取應用程式作業的應用程式 4. 選取 [修改另一個應用程式的狀態] (產品說明中會有所有作業的說明 按下 F1 鍵即可顯示). 5. 從下拉式功能表中選取 [特定應用程式] 並 [新增] 一個或多個您要保護的應用程式 6. 按一下 [完成] 以儲存您的新規則 H IP S 規 則 設 定 規則名稱 - 使用者定義或自動選擇的規則名稱 處理方法 - 規則指定在條件正確時應執行的處理方法 -[允許] [封鎖] 或 [詢問] 影響到的作業 - 您必須選取要套用規則的作業類型 規則只會使用於此類作業以及選取的 [目標] 檔案 - 只有當作業與此目標相關時 才會使用此規則 從下拉式功能表中選取檔案並按一下 [新增] 即可新增 檔案或資料夾 或者 您可以從下拉式功能表中選取 [所有檔案] 以新增所有應用程式 應用程式 - 只有當事件是由此應用程式觸發時 才會使用此規則 從下拉式功能表中選取特定應用程式並按 一下 [新增] 以新增檔案或資料夾 您也可以從下拉式功能表中選取並新增所有應用程式 登錄項目 - 只有當作業與此目標相關時 才會使用此規則 從下拉式功能表中選取特定項目並按一下 [新 增] 以新增檔案或資料夾 您也可以從下拉式功能表中選取所有項目以新增所有應用程式 啟用 - 如果您想要將規則保留在清單中 但不想使用它 請停用此切換選項 防護記錄 - 如果您啟動此選項 有關此規則的資訊將寫入 HIPS 防護記錄 通知使用者 - 若觸發事件 右下角將出現一個小型快顯視窗 115

116 規則包含三個部分 說明觸發此規則的條件 來源應用程式 - 只有當事件是由此應用程式觸發時 才會使用此規則 從下拉式功能表中選取 [特定應用程 式] 然後按一下 [新增] 以新增檔案或資料夾 或者您也可以從下拉式功能表中選取 [所有應用程式] 來新增所 有應用程式 檔案 - 只有當作業與此目標相關時 才會使用此規則 從下拉式功能表中選取 [特定檔案] 並按一下 [新增] 以新 增檔案或資料夾 或者 您可以從下拉式功能表中選取 [所有檔案] 以新增所有應用程式 應用程式 - 只有當作業與此目標相關時 才會使用此規則 從下拉式功能表選取 [特定應用程式] 並按一下 [新 增] 以新增檔案或資料夾 或者 您可以從下拉式功能表中選取 [所有應用程式] 以新增所有應用程式 登錄項目 - 只有當作業與此目標相關時 才會使用此規則 從下拉式功能表中選取 [特定項目] 並按一下 [新增] 以新增檔案或資料夾 或者 您可以從下拉式功能表中選取 [所有項目] 以新增所有應用程式 注意 根據預設 不能封鎖且必須允許由 HIPS 預先定義之特定規則的某些作業 此外 並非所有的系統作業皆由 HIPS 監視 HIPS 監視系統視為不安全的作業 重要作業的說明 檔案作業 刪除檔案 - 應用程式正在要求權限 以刪除目標檔案 寫入檔案 - 應用程式正在要求權限 以寫入目標檔案 直接存取磁碟 - 應用程式正嘗試以非標準程序從磁碟讀取或寫入磁碟 此動作將規避一般的 Windows 程 序 這會導致在沒有對應規則之應用程式的情況下 修改檔案 此作業可能是因為惡意軟體嘗試規避偵測 備份軟體嘗試複製完整的磁碟副本 或是分割區管理程式嘗試重新組織磁碟區所造成 安裝全域攔截 - 表示呼叫 MSDN 程式庫中的 SetWindowsHookEx 函式 載入驅動程式 - 將驅動程式安裝於系統中並載入 應用程式作業 對另一個應用程式進行除錯 - 附加除錯工具至處理程序 執行應用程式除錯作業時 您可以檢視並修改其 行為的多種詳細資料 並且存取其資料 攔截另一個應用程式的事件 - 來源應用程式嘗試獲取特定應用程式鎖定的事件 (例如 Keylogger 嘗試擷 取瀏覽器事件) 終止/ 暫停另一個應用程式 - 暫停 恢復或終止處理程序 (可從 Process Explorer 或 [處理程序] 視窗直接存 取) 開始新應用程式 - 開始新的應用程式或處理程序 修改另一個應用程式的狀態 - 來源應用程式嘗試寫入目標應用程式的記憶體或代表自身執行代碼 透過 在封鎖使用此作業的規則中 將重要的應用程式配置為目標應用程式來進行保護 這樣做很有助益 登錄作業 修改啟動設定 - 設定中的任何變更 這些設定是定義哪些應用程式將在 Windows 啟動時執行 例如 您可 以透過搜尋 Windows 登錄中的 Run 機碼 找到這些設定 從登錄刪除 - 刪除登錄機碼或其值 重新命名登錄機碼 - 重新命名登錄機碼 修改登錄 - 建立登錄機碼的新值 變更現有的值 在資料庫樹狀結構中移動資料 或設定登錄機碼的使用者 或群組權限 注意 輸入目標時 您可以在某些限制下使用萬用字元 登錄路徑中不使用特定機碼 而是使用 *(星號) 符號 例 如 HKEY_USERS\*\software 可能是指 HKEY_USER\.default\software 而非 HKEY_USERS\S \.default\software HKEY_LOCAL_MACHINE\system\ControlSet* 不是有效的登錄機碼 路徑 登錄機碼路徑若包含 \* 表示 此路徑 或該符號之後所有層級的所有路徑 這是針對檔案目標使用 萬用字元的唯一方法 首先 會先評估確實路徑 然後評估萬用字元符號 (*) 之後的路徑 116

117 警告 若您建立過於廣泛的規則 您將會收到通知 進 階 設 定 以下選項可用於除錯及分析應用程式的行為 一律允許載入驅動程式 - 除非使用者規則明確封鎖 否則一律允許載入選取的驅動程式 無論配置的過濾模 式為何 記錄所有封鎖的作業 - 系統會將所有遭封鎖的作業寫入 HIPS 防護記錄 當啟動應用程式發生變更時通知 - 每次在系統啟動中新增或移除應用程式時 便會顯示桌面通知 一 律 允 許 載 入 驅 動 程 式 除非使用者規則明確封鎖 否則無論 HIPS 過濾模式為何 一律允許載入此清單上顯示的驅動程式 新增 - 加入新的驅動程式 編輯 - 編輯選取的驅動程式路徑 移除 - 從清單移除驅動程式 重設 - 重新載入一組系統驅動程式 注意 如果您不想要包含已經手動新增的驅動程式 請按一下 [重設] 如果您已經新增數個驅動程式且您無法手動 從清單上刪除這些驅動程式 這可能很有用 8.2 更新 [更新] > [一般] 下的 [進階設定] 視窗 (按一下鍵盤上的 [F5] 鍵) 中可使用更新設定選項 此區段可指定更新來源 資訊 如正在使用的更新伺服器及這些伺服器的驗證資料 附註 若要適當地下載更新 必須正確地填入所有更新參數 如果您使用防火牆 請確定您的 ESET 程式可以與網際 網路通訊 (即 HTTP 通訊) 一般 目前使用的 [更新設定檔] 會顯示於已選取的設定檔下拉式功能表中 如果更新遭遇問題 請按一下 [清除] 以清除暫時更新快取 過期的病毒資料庫警告 [自動設定資料庫有效期限] / [資料庫有效期限 (天數)] 允許設定時間上限 (以天計) 超過期限後 病毒資料 庫會回報過期 預設值為 7 天 117

118 回復 如果您懷疑病毒資料庫和/ 或程式模組的新更新不穩定或損壞 您可以還原回上一版 並在一段期間內停用任何 更新 或者 如果您先前已無限期延後更新 您也可以啟用這些停用的更新 ESET File Security 會記錄病毒資料 庫與程式模組的快照 以搭配還原功能使用 若要建立病毒資料庫快照 請啟用 [建立更新檔案快照] [儲存於 本機的快照數目] 欄位定義先前儲存的病毒資料庫快照數目 範例 假設編號 是病毒資料庫的最新版本 與 則儲存成病毒資料庫快照 請注意 無法使 用 例如 因為電腦已關機 且在 下載前已進行較新的更新 如果您在 [儲存於本機的快照數目] 欄位 中設為 2 並按一下 [還原] 則病毒資料庫 (包含程式模組) 將還原回編號 的版本 此程序可能需要一些 時間 從 ESET File Security 主要程式視窗的 [更新] 區段中檢查病毒資料庫版本是否已降級 設定檔 118

119 若要建立新的設定檔 選取 [設定檔清單] 旁的 [編輯] 並輸入您自己的 [設定檔名稱] 然後按一下 [新增] 您 可以透過下列選項編輯設定檔 基本 [更新類型] - 從下拉式功能表選取要使用的更新類型 定期更新 - 依預設 [更新類型] 會設定成 [定期] 更新 以確保更新檔案會自動從 ESET 伺服器使用最少網路 流量下載 發佈前更新 - 是已完成內部測試且即將提供給大眾使用的更新 啟用發佈前更新 可讓您存取最新的偵測 方法與修復程式 不過 發佈前更新有時可能會不穩定 且 不應 在需要最大可用性與穩定性的生產伺服 器與工作站上使用 延遲更新 - 允許從特殊更新伺服器更新 該伺服器會延遲至少 X 小時再提供新版的病毒資料庫 (亦即資料 庫已在實際環境中測試 因此可視為穩定) 停用成功更新的相關通知 - 關閉畫面右下角的系統匣通知 如果正在執行全螢幕應用程式或遊戲 則選取 此選項很有用 請注意 簡報模式將關閉所有通知 透過可移除媒體更新 - 可讓您透過包含建立映像的可移除媒體進行更新 選取 [自動] 時 更新將在背景執 行 若您想顯示更新對話 請選取 [一律詢問] [更新伺服器] 下拉式功能表已預設為 [自動選擇] 更新伺服器是儲存更新的位置 若您使用 ESET 伺服器 我們建議您讓預設選項保持選取狀態 當使用本機 HTTP 伺服器 (也稱為 映像 ) 時 更新伺服器應該進行設定 如下所示 當透過 SSL 使用本機 HTTP 伺服器時 更新伺服器應設定如下 當使用本機共用資料夾時 更新伺服器應設定如下 \\computer_name_or_its_ip_address\shared_folder 從映像更新 119

120 更新伺服器的驗證是根據在購買後產生並傳送給您的 [授權金鑰] 當使用本機映像伺服器時 您可以定義用 戶端用來登入映像伺服器的憑證 以便接收更新 依預設 不需要任何驗證 即 [使用者名稱] 與 [密碼] 欄位 為空 更新模式 HTTP Proxy 以下列身分連接到區域網路 映像 更 新 回 復 如果您按一下 [還原] 您必須從下拉式功能表中選取時間間隔 這代表暫停病毒資料庫與程式模組更新的時 間 選取 [直到取消為止] 可無限期延後定期更新 直到您手動還原更新功能為止 由於這有潛在性安全風險 因此 不建議選取此選項 病毒資料庫版本會降級到最舊的可用版本 並以快照形式儲存在本機電腦檔案系統中 更 新 模 式 [更新模式] 索引標籤包含程式元件更新相關的選項 新程式元件可以升級時 程式可讓您預先定義其行為 程式元件更新包括新功能 或變更舊版已存在的功能 它可自動執行而無需使用者介入 或者您也可以選擇提 前通知 安裝程式元件更新之後 可能需要重新啟動電腦 [程式元件更新] 區段中 可用的三個選項如下 [下載程式元件前詢問] - 預設選項 將提示您確認或拒絕提供使用的程式元件更新 [一律更新程式元件] - 將自動下載並安裝程式元件更新 請記得系統可能要求重新啟動電腦 [絕不更新程式元件] - 絕不會執行程式元件更新 此選項適用於伺服器安裝 因為伺服器通常只有在維護時才 會重新啟動 注意 選取最適當的選項需視將套用設定的工作站而定 請注意 工作站與伺服器之間有區別 例如 程式更新後 自動重新啟動伺服器會導致嚴重損毀 120

121 如果您想將 ESET File Security 升級為較新版本 請啟用程式元件手動更新 依預設會停用此選項 當已啟用和 較新版本的 ESET File Security 可用時 [檢查更新] 會出現在 [更新] 索引標籤 若 [下載更新前詢問] 選項已啟用 有新的更新時將顯示通知 若更新檔案大小超過 [詢問更新檔案是否大於 (kb)] 欄位中指定的值 程式將顯示通知 H T T P p ro xy 若要存取指定更新設定檔的 Proxy 伺服器設定選項 按一下 [Proxy 模式] 然後選取下列三個選項之一 [不使用 Proxy 伺服器] 可明確定義不使用任何 Proxy 伺服器更新 ESET File Security 注意 Proxy 伺服器的預設值為 [使用全域 Proxy 伺服器設定] [使用全域 Proxy 伺服器設定] 選項 將使用已經在 [進階設定] > [工具][Proxy 伺服器] 中指定的 Proxy 伺服 器配置選項 121

122 如果出現下列狀況 務必選取 [透過 Proxy 伺服器連線] 選項 o 應用來更新 ESET File Security 的 Proxy 伺服器與全域設定中所指定的 Proxy 伺服器不同 ([工具] > [Proxy 伺 服器]) 若是如此 則應該在其中指定設定 [Proxy 伺服器] 位址 通訊連接埠 (依預設為 3128) 以及 Proxy 伺服器的 [使用者名稱] 及 [密碼] (如果需要的話) o 並未全域設定 Proxy 伺服器 但是 ESET File Security 將連接至 Proxy 伺服器進行更新 o 電腦透過 Proxy 伺服器連接至網際網路 系統在程式安裝期間從 Internet Explorer 取得設定 但如果它們隨 後有所變更 (例如 您變更 ISP) 請檢查此視窗中所列的 HTTP Proxy 設定是否正確 否則 程式將無法連接至 更新伺服器 注意 驗證資料 (例如 [使用者名稱] 及 [密碼]) 是用來存取 Proxy 伺服器的 只有在需要使用者名稱及密碼時 才 填寫這些欄位 請注意這些欄位並不是使用 ESET File Security 的使用者名稱/ 密碼 僅當您瞭解您需要密碼以 透過 Proxy 伺服器存取網際網路時才填寫 如果 Proxy 無法使用 請使用直接連線 - 如果產品已配置為使用 HTTP Proxy 且 Proxy 無法存取 產品將避開 Proxy 並與 ESET 伺服器直接通訊 以 下 列 身 分 連 接 到 區 域 網 路 從執行 Windows 的本機伺服器更新時 依預設需要每個網路連線的驗證 配置選項位於 [更新] > [設定檔] > [以 下列身分連線至 LAN] 內的 [進階設定] 樹狀目錄 (F5) 若要配置您的帳戶, 請從 [本機使用者類型] 下拉式功能 表中 選取下列其中一個選項 [系統帳戶 (預設)] - 使用系統帳戶來驗證 通常 如果主要更新設定區段中沒有提供任何驗證資料 則不會發 生驗證程序 [目前使用者] - 選取此選項以確保程式授權使用目前登入中的使用者帳戶 此解決方案的缺點是如果目前沒 有任何使用者登入 則程式無法連接至更新伺服器 [指定使用者] - 選取此選項以使用特定使用者帳戶來驗證 當預設系統帳戶連線失敗時 會使用此方法 請記 得指定的使用者帳戶必須具有本機伺服器上更新檔案目錄的存取權 否則 程式將無法建立連線並下載更新 122

123 警告 選取 [目前使用者] 或 [指定使用者] 選項時 如果將程式身分變更為所需使用者 則可能會發生錯誤 我們 建議將區域網路 (LAN) 驗證資料輸入主要更新設定區段 在此更新設定區段中 驗證資料輸入應該如下所 示 網域名稱\使用者 (如果是工作群組 請輸入工作群組名稱\名稱) 及密碼 當從本機伺服器 HTTP 版本更新 時 不需要驗證 更新後中斷伺服器連線 - 在已下載更新但伺服器連線仍處於作用中時強制中斷連線 映 像 ESET File Security 可讓您建立更新檔案的副本 可用於更新網路中的其他工作站 映像 的功用 -LAN 環境中更 新檔案的副本很方便 因為不需要由每個工作站從廠商更新伺服器重覆下載更新檔案 更新會下載至本機映像 伺服器然後散佈至所有工作站 以避免網路流量超載風險 從映像更新用戶端工作站會最佳化網路負載平衡 節省網際網路連線頻寬 本機映像伺服器的配置選項位於 [更新] > [設定檔] > [映像] 索引標籤中的 [進階設定] 樹狀目錄 (F5) 建立更新映像 建立更新映像 - 啟用此選項會啟動其他映像配置選項 例如存取更新檔案的方式及映像檔案的更新路徑 123

124 存取更新檔案 透過內部 HTTP 伺服器提供更新檔案 - 如果已啟用 則透過 HTTP 即可存取更新檔案 而且不需要憑證 注意 Windows XP 需要 Service Pack 2 或更新版本以使用 HTTP 伺服器 存取映像伺服器的方法在從映像更新中有詳細說明 您可利用兩種基本的方法來存取映像 -含有更新檔案 的資料夾可以顯示為共用網路資料夾 或用戶端可以存取 HTTP 伺服器上的映像 儲存映像檔的資料夾 - 如果您想變更定義的預設資料夾至儲存映像檔 請按一下 [清除] C:\ProgramData \ESET\ESET File Security\mirror. 按一下 [編輯] 以瀏覽本機電腦或共用網路資料夾上的資料夾 如果需要指 定資料夾的授權 必須在 [使用者名稱] 及 [密碼] 欄位中輸入驗證資料 如果選取的目標資料夾位於執行 Windows NT/2000/XP 作業系統的網路磁碟上 則指定的使用者名稱及密碼必須具有已選取資料夾的寫入 權 使用者名稱及密碼的輸入格式應為網域/ 使用者或工作群組/ 使用者 請記得提供對應的密碼 檔案 - 配置映像時您可以指定要下載的更新的語言版本 使用者所配置的映像伺服器必須支援選取的語 言 HTTP 伺服器 伺服器連接埠 - 依預設 伺服器連接埠設定為 2221 驗證 - 定義用於存取更新檔案的驗證方法 可用選項如下 [無] [基本] 及 [NTLM] 選取 [基本] 以使用具有基本使用者名稱及密碼驗證的 base64 編碼 [NTLM] 選項提供使用安全編碼方法的編碼 對於驗證 會使用共用更新檔案之工作站上建立的使用者 預設 值為 [無] 這會授與對無需驗證之更新檔案的存取權 針對 HTTP 伺服器的 SSL 如果您想要執行支援 HTTPS (SSL) 的 HTTP 伺服器 請附加您的 [憑證連鎖檔案] 或產生自我簽署的憑證 以 下為可用的憑證類型 PEM PFX 和 ASN 為了額外的安全性 您可以使用 HTTPS 通訊協定來下載更新檔案 124

125 使用此通訊協定幾乎不可能追蹤資料傳送與登入憑證 [私密金鑰類型] 依預設設為 [已整合] (因此 [私密金鑰檔案] 選項預設為停用) 這表示私密金鑰是所選憑 證連鎖檔案的一部分 以下列身分連接到區域網路 本機使用者類型 - [系統帳戶(預設)] [目前使用者] 和 [指定使用者] 等設定會顯示在其對應的下拉式功 能表中 [使用者名稱] 和 [密碼] 設定是選擇性的 請參閱以下列身分連接到區域網路 如果在已下載更新之後伺服器連線仍處於作用中 請選取 [更新後中斷伺服器連線] 來強制中斷連線 程式元件更新 自動更新元件 - 可安裝新功能和現有功能的更新 更新可自動執行而無需使用者介入 或者您也可以選擇 提前通知 安裝程式元件更新之後 可能需要重新啟動電腦 立即更新元件 - 將程式元件更新到最新版本 從 映 像 更 新 配置映像有兩個基本方法 映像實際上是一個存放庫 讓用戶端可以下載更新檔案 含有更新檔案的資料夾可 以顯示為共用網路資料夾或 HTTP 伺服器 使用內部 HTTP 伺服器存取映像 此組態是預先定義程式配置中指定的預設值 若要允許使用 HTTP 伺服器存取映像 請瀏覽至 [進階設定] (F5) > [更新] > [設定檔] > [映像] 並選取 [建立更新映像] 在 [映像] 索引標籤的 [HTTP 伺服器] 區段中 您可以指定 HTTP 伺服器將接聽的 [伺服器連接埠] 以及 HTTP 伺 服器使用的 [驗證] 類型 依預設 伺服器連接埠設定為 2221 [驗證] 選項定義用於存取更新檔案的驗證方法 可用選項如下 [無] [基本] 及 [NTLM] 選取 [基本] 以使用具有基本使用者名稱及密碼驗證的 base64 編碼 NTLM 選項提供使用安全編碼方法的編碼 對於驗證 會使用共用更新檔案之工作站上建立的使用者 預設值為 [無] 這會授與對無需驗證之更新檔案的存取權 警告 如果您想要允許透過 HTTP 伺服器的更新檔案存取 則映像資料夾必須位於 ESET File Security 實例建立它時 所在的電腦 針對 HTTP 伺服器的 SSL 如果您想要執行支援 HTTPS (SSL) 的 HTTP 伺服器 請附加您的 [憑證連鎖檔案] 或產生自我簽署的憑證 以下為 可用的憑證類型 PEM PFX 和 ASN 為了額外的安全性 您可以使用 HTTPS 通訊協定來下載更新檔案 使用此通 訊協定幾乎不可能追蹤資料傳送與登入憑證 [私密金鑰類型] 依預設會設定成 [已整合] 表示私密金鑰是所選 憑證連鎖檔案的一部分 附註 數次從 [映像] 嘗試更新病毒資料庫失敗之後 [無效的使用者名稱和/ 或密碼] 錯誤會出現在主要功能表中 的 [更新] 索引標籤中 我們建議您瀏覽至 [進階設定] (F5) > [更新] > [設定檔] > [映像] 並檢查使用者名稱和 密碼 此錯誤最常見的原因是輸入的驗證資料錯誤 125

126 配置完成您的映像伺服器之後 您必須在用戶端工作站上新增新的更新伺服器 若要執行此處理方法 請遵循 以下步驟 1. [存取] [進階設定] (F5) 然後按一下 [更新] > 設定檔 > [基本] 2. 用下列其中一種格式解除 [自動選擇] 並將新的伺服器新增至 [更新伺服器] 欄位 (如果使用 SSL 的話) 透過系統共用存取映像 首先 應該在本機或網路裝置上建立共用資料夾 建立映像資料夾時 必須為將更新檔案儲存到資料夾的使用 者提供 寫入 存取權 並且為將從映像資料夾更新 ESET File Security 的所有使用者提供 讀取 存取權 然後 透過停用 [透過內部 HTTP 伺服器提供更新檔案] 選項在 [進階設定] > [更新] > [設定檔] > [映像] 內配置 對於映像的存取 依預設 會在程式安裝套件中啟用此選項 如果共用資料夾位於網路中的另一台電腦 必須輸入存取其他電腦的驗證資料 若要輸入驗證資料 請開啟 ESET File Security [進階設定] (F5) 並按一下 [更新] > [設定檔] > [以下列身分連接到區域網路] 此與 以下列 身分連接到區域網路 一節所說明用來更新的設定相同 映像配置完成之後 在用戶端工作站上 依照下列步驟將 \\UNC\PATH 設定為更新伺服器 1. 開啟 ESET File Security [進階設定] (F5) 並按一下 [更新] > [設定檔] > [基本] 2. 按一下 [更新伺服器] 並使用 \\UNC\PATH 格式加入新伺服器 附註 若要更新正常運作 映像資料夾的路徑必須指定為 UNC 路徑 來自對應磁碟機的更新不會運作 最後一個區段控制程式元件 (PCU) 依預設 下載的程式元件已準備好複製到本機映像 如果已啟動 [程式元件 更新] 則不需要按一下 [更新] 因為檔案會在備妥時自動複製到本機映像 如需程式元件更新的詳細資訊 請 參閱更新模式 126

127 映 像 檔 案 可用且本地化的程式元件檔案清單 疑 難 排 解 映 像 更 新 問 題 大部分情況下 導致從映像伺服器更新期間發生問題的一個或多個原因如下 [映像] 資料夾選項的不正確指定 對 [映像] 資料夾資料的不正確驗證 對嘗試從映像下載更新檔案之本機工作站的不正確配置 或以上原因的組 合 以下提供從映像更新期間經常可能發生之問題的概觀 連接至映像伺服器時 ESET File Security 報告錯誤 - 可能的原因是本機工作站下載更新所在更新伺服器 (映 像資料夾的網路路徑) 的指定不正確 若要驗證資料夾 請按一下 Windows [開始] 並按一下 [執行] 然後輸 入資料夾名稱 並按一下 [確定] 畫面上應該會顯示資料夾內容 ESET File Security 需要使用者名稱及密碼 - 可能由於更新區段中不正確的驗證資料 (使用者名稱及密碼) 所 致 使用者名稱及密碼用於授與更新伺服器 (程式更新位置) 的存取權 請確定驗證資料正確 且以正確的格 式輸入 例如 網域/ 使用者名稱或工作群組/ 使用者名稱 以及對應的 密碼 如果 每個人 都可以存取映像 伺服器 請注意這並不表示授與所有人存取權 每個人 不表示所有未授權的使用者 僅表示每個網域使用 者都可以存取資料夾 因此 如果 每個人 都可以存取資料夾 則更新設定區段中仍需要輸入網域使用者名 稱及密碼 連接至映像伺服器時 ESET File Security 報告錯誤 - 封鎖定義用於存取 HTTP 版本映像之連接埠的通訊 8.3 Web 和電子郵件 [Web 和電子郵件] 區段可讓您配置電子郵件用戶端防護 使用 Web 存取防護來防護網際網路通訊 以及透過配 置通訊協定過濾來控制網際網路通訊協定 透過網際網路通訊時 這些功能就是防護電腦的必要功能 [電子郵件用戶端防護] 可控制所有電子郵件通訊 防範惡意程式碼 並讓您選擇偵測到感染時要採取的處理方 法 [Web 存取防護] 可監視 Web 瀏覽器與遠端伺服器之間的通訊 並遵循 HTTP 及 HTTPS 規則 此功能也可讓您封 鎖 允許或排除特定 URL 位址 通訊協定過濾提供由 ThreatSense 搜尋引擎所提供的應用程式通訊協定進階防護 無論是使用 Web 瀏覽器或 電子郵件用戶端 此控制項都會自動運作 它也適合用於加密 (SSL/TLS) 通訊 附註 在 Windows Server 2008 Windows Server 2008 R2 Small Business Server 2008 和 Small Business Server 2011 上 [Web 和電子郵件] 安裝元件會預設為停用 如果您希望安裝此元件 請選擇 [自訂] 安裝類型 如果您已 安裝 ESET File Security 您可以重新執行安裝程式以修改您現有的安裝來新增 Web 和電子郵件元件 通 訊 協 定 過 濾 應用程式通訊協定的病毒防護由 ThreatSense 掃描引擎控制 該引擎可整合多個進階惡意程式掃描技術 無論 是使用網際網路瀏覽器或電子郵件用戶端 通訊協定過濾都會自動運作 如果已啟用通訊協定過濾 ESET File Security 將會檢查使用 SSL/TLS 通訊協定的通訊 請移至 [Web 和電子郵件] > SSL/TLS 啟用應用程式通訊協定內容過濾 -可用於控制停用通訊協定過濾 請注意 許多 ESET File Security 元件 (Web 存取防護 電子郵件通訊協定防護和網路釣魚防護) 必須啟用此選項才能正常運作 排除的應用程式 - 允許您從通訊協定過濾排除特定的應用程式 按一下 [編輯] 以從應用程式清單中選取應用 程式 排除的 IP 位址 - 允許您從通訊協定過濾排除特定的遠端位址 附註 排除對於通訊協定過濾導致相容性問題時很有幫助 127

128 排 除 的 應 用 程 式 若要將特定的網路識別應用程式排除在內容過濾之外 請在清單中選取這些應用程式 屆時將不會針對所選應 用程式的 HTTP/POP3 通訊檢查是否存在威脅 重要 建議僅針對在檢查通訊時無法正常運作的應用程式使用此選項 以下是可用的功能 新增 -顯示已經受通訊協定過濾影響的應用程式和服務 編輯 - 清單中已選取的應用程式 移除 - 清單中已選取的應用程式 排 除 的 IP 位 址 在清單中的 IP 位址將排除於通訊協定內容過濾之外 屆時將不會針對所選位址的 HTTP/POP3/IMAP 往來通訊檢 查是否存在威脅 重要 我們建議只將此選項用於已知值得信賴的位址 以下是可用的功能 [新增] - 新增要套用規則的遠端位置的 IP 位址/ 位址範圍/ 子網路 當您選取 [輸入多個值] 您可新增多個以行 逗號或分號分隔的 IP 位址 當您啟用多個選項時 位址將於已排 除 IP 位址清單中顯示 [編輯] - 編輯已選取的 IP 位址 [移除] - 從清單中移除選取的 IP 位址 W e b 和 電 子 郵 件 用 戶端 由於在網際網路周圍散佈著大量的惡意代碼 因此能安全地瀏覽網際網路是電腦防護非常重要的面向 網路瀏 覽器的弱點和詐騙連結會幫助惡意代碼在不被察覺的情況下進入系統 這也就是 ESET File Security 著重在網路 瀏覽器安全性的原因之一 每一個存取網路的應用程式均可被標記為網路瀏覽器 您能夠在 Web 和電子郵件用 戶端的清單中 新增已使用通訊協定進行通訊的應用程式 或是來自已選取路徑的應用程式 注意 從 Windows Vista Service Pack 1 與 Windows Server 2008 起 新的 Windows 過濾平台 (WFP) 架構就被用來檢 查網路通訊 由於 WFP 技術使用特殊監視技術 因此無法使用 [Web 和電子郵件用戶端] 區段 S S L/ T LS ESET File Security 能檢查使用 SSL/TLS 通訊協定的通訊中是否存在威脅 對於使用信任的憑證 未知憑證或排除 在 SSL 防護通訊檢查之外的憑證進行的 SSL 防護通訊 您可以運用各種掃描模式來檢查 啟用 SSL/TLS 通訊協定過濾 - 若停用通訊協定過濾 將不會掃描使用 SSL/TLS 的通訊 SSL/TLS 通訊協定過濾模式可選擇下列選項 自動模式 - 選取此選項可掃描所有 SSL/TLS 防護通訊 但不包括排除在檢查之外的憑證所防護的通訊 如 果使用未知的已簽署憑證建立新通訊 則不會通知您出現此情況 而且將自動過濾通訊 存取含有標記為 信任的不信任憑證 (在信任憑證清單中) 在其中的伺服器時 將允許對於伺服器的通訊 並且將過濾通訊 通道的內容 互動模式 - 如果您輸入新的 SSL/TLS 防護網站 (含有未知憑證) 則會顯示處理方式選取項目對話方塊 此 模式可讓您建立將排除在掃描之外的 SSL/TLS 憑證清單 128

129 已知的憑證清單 - 可讓您為特定的 SSL 憑證自訂 ESET File Security 行為 [封鎖利用過時通訊協定 SSL 第 2 版的加密通訊] - 自動封鎖使用此舊版 SSL 通訊協定的通訊 系統管理員憑證 -為了使 SSL/TLS 通訊能在瀏覽器/ 電子郵件用戶端中正常運作 您需要將 ESET 的系統管理員憑 證新增至已知系統管理員憑證 (發行者) 的清單中 應該啟用 [將系統管理員的憑證新增至已知瀏覽器] 選取 此選項可自動將 ESET 根憑證新增至已知瀏覽器中 (例如 Opera 和 Firefox) 對於使用系統憑證儲存區的瀏覽器 來說 憑證會自動新增 (例如 Internet Explorer) 若要將憑證套用至不支援的瀏覽器 請按一下 [檢視憑證] > [詳情] > [複製到檔案... ] 再手動匯入至瀏覽器 憑證有效性 如果使用 TRCA 憑證儲存區無法驗證憑證 -在某些情況下 無法使用 信任的根憑證授權 (TRCA) 儲存區驗證憑 證 這表示憑證已由他人 (例如 Web 伺服器或小型企業的管理員) 簽署 因此將此憑證視為受信任憑證的風險不 大 大型企業 (例如銀行) 大多使用 TRCA 簽署的憑證 如果設定 [詢問憑證有效性] (預設選取) 系統就會提示 使用者選取在建立加密通訊時要採取的處理方法 您可選取 [封鎖使用憑證的通訊] 一律終止與使用未驗證憑 證的網站之間的加密連線 如果憑證無效或損毀 則表示憑證已到期或簽署方式不正確 在此情況下 我們建議維持選取 [封鎖使用憑證 的通訊] 加 密 的 S S L 通 訊 若您的系統已配置使用 SSL 通訊協定掃描 用來提示您選擇處理方法的對話方塊視窗 將在兩種情況下顯示 首先 當網站使用未通過驗證或無效的憑證 且 ESET File Security 已配置為在該情況下詢問使用者 (依預設 未 通過驗證者為是 無有效憑證者為否) 這時會出現對話方塊詢問您要 [允許] 或 [封鎖] 該連線 並且 如果 [SSL 通訊協定過濾模式] 已設定成 [互動模式] 這時每個網站的對話方塊會詢問是否要 [掃描] 或 [略過] 流量 某些應用程式會驗證其 SSL 流量是否未經任何使用者修改或檢查 在這種情況下 ESET File Security 必須 [略過] 該流量以繼續讓應用程式運作 在這兩種情況下 使用者可以選擇記住選取的處理方法 儲存的處理方法會存放在已知的憑證清單 129

130 已 知 的 憑 證 清 單 已知的憑證清單可用於為特定的 SSL 憑證自訂 ESET File Security 行為 且若在SSL/TLS 通訊協定過濾模式中選取 互動模式 則可記住選擇的處理方法 透過按一下 [已知的憑證清單] 旁的 [編輯] 可檢視和管理清單 您可以從下列的處理方法選擇 [新增] - 從 URL 或檔案中新增憑證 編輯 - 選取您想配置的憑證並按一下 [編輯] 移除 - 選取您想刪除的憑證並按一下 [移除] 當您在 [新增憑證] 視窗時 按一下 [URL] 或 [檔案] 並指定憑證 URL 或瀏覽憑證檔案 將使用憑證的資料自動填 寫下列欄位 憑證名稱 - 憑證的名稱 憑證發行者 - 憑證建立者名稱 憑證主旨 - 主旨欄位可識別與主旨公用金鑰欄位中所儲存公用金鑰相關聯的實體 您可配置的選項 選取 [允許] 或 [封鎖] 作為存取處理方法以允許/ 封鎖憑證認為安全的通訊 無論憑證的可信任度為何 選取 [自動] 以允許信任的憑證並要求不信任的憑證 選取 [詢問] 以在遇到特定憑證時收到提示 選取 [掃描] 或 [忽略] 作為掃描處理方法以掃描或忽略此憑證認為安全的通訊 選取 [自動] 以於自動模式中 掃描並於互動模式中詢問 選取 [詢問] 以在遇到特定憑證時收到提示 按一下 [確定] 以儲存您的變更 或按一下 [取消] 在不儲存的情況下離開 130

131 8.3.3 電 子 郵 件 用 戶端 防 護 ESET File Security 與電子郵件用戶端的整合會針對電子郵件訊息中的惡意代碼 增加作用中的防護層級 如果您 的電子郵件用戶端受支援 即可在 ESET File Security 中啟用此整合 如果啟用整合 ESET File Security 工具列會直 接插入電子郵件用戶端 (不插入較新版的 Windows Live Mail 工具列) 以便更有效進行電子郵件防護 整合設定 位於 [設定] > [進階設定] > [Web 和電子郵件] > [電子郵件用戶端防護] > [電子郵件用戶端] 下方 電子郵件用戶端整合 目前支援的電子郵件用戶端包括 Microsoft Outlook Outlook Express Windows Mail 和 Windows Live Mail 電子 郵件防護是以外掛程式的形式在這些程式中運作 外掛程式的主要優勢為其獨立於所使用的通訊協定 當電子 郵件用戶端接收到加密的郵件 它會將其解密並傳送到病毒掃描器 如需支援的電子郵件用戶端及其版本清單 請參閱以下資料庫文章 即使未啟用整合 電子郵件通訊仍會受到電子郵件用戶端防護模組 (POP3 IMAP) 保護 如果在處理電子郵件用戶端 (僅限 MS Outlook) 時發生系統速度減慢 請開啟 [停用收件匣內容變更檢查] 當從 Kerio Outlook Connector Store 擷取電子郵件時會發生這種狀況 要掃描的電郵 已接收電子郵件 - 可切換接收郵件的檢查 已傳送電子郵件 - 可切換傳送郵件的檢查 已閱讀的電子郵件 - 可切換讀取郵件的檢查 針對受感染電子郵件執行的處理方法 不進行處理 - 如果啟用 則程式會識別受感染附件 但不會對電子郵件採取任何處理方法 刪除電子郵件 - 程式會通知使用者有關入侵的資訊並刪除該訊息 將受感染電子郵件移到刪除的郵件資料夾 - 自動將受感染電子郵件移至 [刪除的郵件] 資料夾 將受感染電子郵件移到資料夾 - 自動將受感染電子郵件移至指定的資料夾 資料夾 - 指定偵測到受感染電子郵件時 要將其移到哪個自訂資料夾 更新後重複掃描 - 可切換為在病毒資料庫更新後重新掃描 接受其他模組的掃描結果 - 如果選取此選項 則電子郵件防護模組會接受其他防護模組 (POP3 IMAP 通訊協 定掃描) 的掃描結果 電 子 郵 件 通 訊 協 定 啟用通訊協定過濾的電子郵件防護 -在電子郵件用戶端應用程式中 IMAP 和 POP3 通訊協定是接收電子郵件 通訊使用最廣泛的通訊協定 無論使用的電子郵件用戶端為何 ESET File Security 均可防護這些通訊協定 ESET File Security 也支援掃描 IMAPS 和 POP3S 通訊協定 其使用加密的通道以在伺服器與用戶端間傳輸資訊 ESET File Security 會檢查利用 SSL (安全通訊端層) 與 TLS (傳輸層安全性) 通訊協定的通訊 此程式將只掃描 IMAPS/POP3S 通訊協定所使用從 [連接埠] 中定義連接埠的流量 無論其作業系統的版本為何 IMAPS /POP3S 掃描器設定 -當使用預設值時 則不掃描加密通訊 若要啟用加密通訊的掃描 請瀏覽至 SSL/TLS 通訊協定檢查 連接埠號碼可識別它是何種類型的連接埠 以下是預設的電子郵件連接埠 連接埠名稱 連接埠號碼 說明 POP3 110 預設的 POP3 非加密連接埠 IMAP 143 預設的 IMAP 非加密連接埠 安全 IMAP (IMAP4-SSL) 585 啟用 SSL/TLS 通訊協定過濾 多個連接埠號必須以逗號分隔 IMAP4 over SSL (IMAPS) 993 啟用 SSL/TLS 通訊協定過濾 多個連接埠號必須以逗號分隔 安全 POP3 (SSL-POP) 啟用 SSL/TLS 通訊協定過濾 多個連接埠號必須以逗號分隔

132 警 告 及 通 知 電子郵件防護可控制透過 POP3 及 IMAP 通訊協定收到的電子郵件通訊 使用 Microsoft Outlook 及其他電子郵件 用戶端的外掛程式 ESET File Security 可控制來自電子郵件用戶端的所有通訊 (POP3 MAPI IMAP HTTP) 當檢 查對內的郵件時 程式會使用包含在 ThreatSense 掃描引擎中的所有進階掃描方法 這表示即使針對病毒資料庫 進行比較之前 也會發生惡意程式的偵測 POP3 及 IMAP 通訊協定的掃描獨立於所使用的電子郵件用戶端 在 [Web 和電子郵件] > [電子郵件用戶端防護] > [警告及通知] 下的 [進階設定] 可找到此功能的選項 ThreatSense 參數 - 進階病毒掃描器設定 可讓您配置掃描目標 偵測方法等 按一下以顯示詳細的病毒掃描器 設定視窗 檢查電子郵件之後 帶有掃描結果的通知會附加到訊息 您可以選取 [將標籤訊息附加到已接收並已閱讀的 郵件] [將附註附加到已接收 已閱讀且受感染電子郵件的主旨] 或 [將標籤訊息附加到已傳送的郵件] 請 注意 雖然這些情況不常發生 但是標籤訊息有可能會在有問題 HTML 訊息中省略 或訊息由惡意軟體所產生 標籤訊息可以新增至已接收及已讀取的電子郵件或已傳送的電子郵件 (或兩者) 可用的選項是 絕不 - 不會新增任何標籤訊息 僅針對受感染電子郵件 - 只有包含惡意軟體的訊息才會標示為已勾選 (預設值) 針對所有已掃描的電子郵件 - 程式會將訊息附加到所有已掃描的電子郵件 將附註附加到已傳送之受感染電子郵件的主旨 - 如果您不要讓電子郵件防護在受感染電子郵件的主旨中包 含病毒警告 請停用這項功能 此功能允許對受感染電子郵件進行簡單 基於主旨的過濾 (如果電子郵件程式支 援的話) 它也會增加收件者的可靠性 而且如果偵測到入侵 則會提供有關指定電子郵件或寄件者的重要資 訊 新增到受感染電子郵件主旨的範本 - 如果您想修改受感染電子郵件的主旨字首格式 請編輯此範本 此功能 會將字首值為 "[virus]" 的郵件主旨 "Hello" 取代成下列格式 "[virus] Hello" 變數 %VIRUSNAME% 代表偵測到的 威脅 MS Outlo o k 工 具 列 Microsoft Outlook 防護是以外掛程式模組來運作 安裝 ESET File Security 之後 此包含病毒防護選項的工具列會 新增至 Microsoft Outlook ESET File Security - 按一下圖示會開啟 ESET File Security 的主要程式視窗 重新掃描郵件 - 可讓您手動啟動電子郵件檢查 您可以指定要檢查的郵件 且可以啟動重新掃描已接收的電子 郵件 如需詳細資訊 請參閱電子郵件用戶端防護 掃描器設定 - 顯示電子郵件用戶端防護設定選項 Outlo o k E xp re s s 及 W ind o ws Ma il 工 具 列 Outlook Express 及 Windows Mail 防護是以外掛程式模組來運作 安裝 ESET File Security 之後 此包含病毒防護 選項的工具列會新增至 Outlook Express 或 Windows Mail ESET File Security - 按一下圖示會開啟 ESET File Security 的主要程式視窗 [重新掃描郵件] - 可讓您手動啟動電子郵件檢查 您可以指定要檢查的郵件 且可以啟動重新掃描已接收的電 子郵件 如需詳細資訊 請參閱電子郵件用戶端防護 掃描器設定 - 顯示電子郵件用戶端防護設定選項 使用者介面 [自訂外觀] - 可以修改電子郵件用戶端的工具列外觀 取消選取該選項以自訂與電子郵件程式參數無關的外 觀 [顯示文字] - 顯示圖示的說明 [文字靠右] - 選項說明會從圖示的底端移至右側 [大圖示] - 顯示功能表選項的大圖示 132

133 確 認 對 話 方 塊 此通知可用於驗證使用者是否真的想要執行選取的處理方法 此舉能消除可能的錯誤 對話方塊也具有停用確 認的選項 重 新 掃 描 郵 件 整合至電子郵件用戶端的 ESET File Security 工具列可讓使用者指定多個電子郵件檢查選項 [重新掃描郵件] 選 項提供兩種掃描模式 位於目前資料夾中的所有郵件 - 掃描目前所顯示資料夾中的郵件 僅限選取的郵件 - 僅掃描使用者標記的郵件 重新掃描已掃描的郵件 - 可供使用者選擇針對先前已掃描的郵件再次執行掃描 W e b 存 取 防 護 Web 存取的運作方式是監視 Web 瀏覽器與遠端伺服器之間的通訊 以保護您免於網路上的威脅 並遵循 HTTP (超文字傳輸通訊協定) 及 HTTPS (加密的通訊) 規則 在內容下載之前封鎖已知含惡意內容網頁的存取權限 所有其他網頁會在下載時由 ThreatSense 掃描引擎進行 掃描 並在偵測到其包含惡意內容時加以封鎖 Web 存取防護會提供兩層防護 依黑名單封鎖和依內容封鎖 強烈建議您啟用 Web 存取防護功能 您可在 [進階設定] (F5) > [Web 和電子郵件] > [Web 存取防護] 中使用下 列選項 基本 - 可讓您啟用或停用整個 Web 存取防護 停用時 以下選項會沒有作用 Web 通訊協定 - 可讓您配置監控大多數網際網路瀏覽器使用的這類標準通訊協定 依預設 ESET File Security 已配置為監視大多數網際網路瀏覽器所使用的 HTTP 通訊協定 注意 Windows Vista 以及更新版的作業系統會一律監視所有應用程式連接埠上的 HTTP 流量 於 Windows XP/2003 作業系統 您可以在 [進階設定] (F5) > [Web 和電子郵件] >[Web 存取防護] > [Web 通訊協定] > [HTTP 掃描器設定] 中修正 HTTP 通訊協定使用的連接埠 系統會監視所有應用程式特定連接埠上的 HTTP 流量 且應用程式的所有連接埠將標記為 [Web 和電子郵件用戶端] ESET File Security 也支援 HTTPS 通訊協定檢查 HTTPS 的通訊使用加密的通道以在伺服器與用戶端間傳輸資 訊 ESET File Security會檢查利用 SSL (安全通訊端層) 與 TLS (傳輸層安全性) 通訊協定的通訊 此程式將只掃 描 HTTPS 通訊協定所使用從 [連接埠] 中定義連接埠的流量 無論其作業系統的版本為何 當使用預設值時 則不掃描加密通訊 若要啟用加密通訊的掃描 請瀏覽至進階設定 (F5) 內的 [SSL 通訊協定 檢查] 並按一下 [Web 和電子郵件] > [SSL 通訊協定檢查] 並選取 [啟用 SSL 通訊協定過濾] URL 位址管理 - 允許您指定要封鎖 允許或從檢查中排除的 HTTP 位址 ThreatSense 參數 - 可讓您配置設定 例如要掃描的類型 (電子郵件 壓縮檔 排除 限制等) 以及 Web 存取防 護的偵測方法 基 本 選擇您要啟用 (預設) 或停用 [Web 存取防護] 停用時 以下選項會沒有作用 注意 強烈建議您啟用 Web 存取防護功能 此選項也可從 ESET File Security 的主要程式視窗存取 瀏覽至 [設定] > [電腦] > [Web 存取防護] 133

134 U R L 位 址 管 理 URL 位址管理允許您指定要封鎖 允許或從檢查中排除的 HTTP 位址 按一下 [編輯] 以建立預先定義清單之外的 新清單 若您想有邏輯地分隔不同的位址群組 這樣做很有幫助 範例 一個封鎖的位址清單可能包含外部公用黑名單上的位址 而第二個清單則可能包含您自己黑名單上的位址 這會讓您在保持自己的清單不變時更容易更新外部清單 不可以存取封鎖位址清單中的網站 除非它們包含在允許的位址清單中 從檢查中所排除允許位址清單中的網站在存取時將不檢查是否含有惡意代碼 若除了 HTTP 網頁之外 您也想過濾 HTTPS 位址 則必須啟用SSL/TLS 通訊協定過濾 否則只有您已造訪 HTTPS 網 站的網域將會新增 但完整 URL 則不會新增 在所有清單中都可以使用特殊符號 *(星號) 及?(問號) 星號代表任何數字或字元 而問號代表任何單一字元 指定已排除的位址時應該特別小心 因為清單應僅包含受信任及安全位址 同樣地 必須確定在此清單中正確 使用字符 *及? 附註 若您想封鎖所有位於作用中 [允許的位址清單] 以外的 HTTP 位址 請將 *新增至作用中的 [封鎖的位址清 單] 位 址 清 單 依預設 可使用的三種清單類型如下 從檢查中排除的位址清單 - 不檢查任何加入此清單之位址中是否含有惡意代碼 允許的位址清單 - 如果已啟用 在允許的位址清單中 只允許 HTTP 位址的存取 而且封鎖的位址清單包含 * (所有項目皆符合) 使用者只允許存取清單中的指定位址 即使包含在封鎖的位址清單上 也會允許存取此清 單中的位址 封鎖的位址清單- 除非也在允許的位址清單上 否則不允許使用者存取此清單中的指定位址 134

135 新增 - 將新 URL 位址新增到清單中 (輸入用分行符號分隔的多個值) 編輯 - 修改清單中的現有位址 只適用於用 [新增] 建立的位址 移除 - 刪除清單中的現有位址 只適用於用 [新增] 建立的位址 建 立 新 清 單 除了預先定義的位址清單外 您可以建立新清單 清單會包括想要封鎖 允許或從檢查中排除的 URL 位址/ 網域 遮罩 建立新清單時 請指定以下項目 位址清單類型 - 從下拉式清單中選擇類型 (從檢查中排除 封鎖 或 允許) 清單名稱 - 可指定清單的名稱 這個欄位在編輯三個預先定義清單中的一個時會呈現灰色 清單說明 - 可輸入簡短的清單說明 (選用) 當編輯三個預先定義清單中的一個時會呈現灰色 作用中的清單 - 使用切換以停用清單 您可以在稍後需要時啟用它 套用時通知 - 若您要在使用特定清單來評估您所造訪的 HTTP 網站時收到通知 範例 當網站遭封鎖或允許時會發出通知 因為其包含在已封鎖或已允許位址的清單中 通知會包含具有指定網站 的清單名稱 按一下 [新增] 以指定 URL 位址/ 網域遮罩 從清單中選取位址 然後按一下 [移除] 以刪除 按一下 [編輯] 以變 更至現有的項目 135

136 附註 只有自訂位址清單可以移除 ESET File Security 可讓使用者封鎖存取特定網站 避免網際網路瀏覽器顯示其內容 此外 其可讓使用者指定應 從檢查中排除的位址 如果不知道遠端伺服器的完整名稱 或者使用者想要指定遠端伺服器的整個群組 則所 謂的遮罩可以用來識別此類群組 遮罩包括? 及 *符號 使用? 來取代一個符號 使用 *來取代一個文字字串 範例 *.c?m 適用於所有位址 其中最後的部分以字母 c 開始 以字母 m 結尾 兩個字母中間包含一個未知的符號 (.com. cam 等) 如果網域名稱中的 *. 位於開頭 則需要特別處理 首先 在此情況中 *萬用字元將無法代表斜線字元 ('/') 這 是為了避免規避遮罩 例如遮罩 *. domain.com 就不會與 相符 (這 類字尾可以在不影響下載的情況下附加於任何 URL 之後) 第二 *. 於此特殊情況下仍能與空白字串相符 這是 為了能夠比對整個網域 包含任何使用單一遮罩的子網域在內 例如 遮罩 *. domain.com 也與 domain.com 相符 使用 *domain.com 則不正確 因為它也與 相符 當您選取 [輸入多個值] 時 您可新增多個以新行 逗號或分號分隔的檔案副檔名 當您啟用多個選項時 位址 將於清單中顯示 [匯入] - 匯入包含 URL 位址的文字檔案 (使用分行符號分隔的值 例如 使用 UTF-8 編碼方式的 *.txt) 136

137 8.3.5 網 路 釣 魚 防 護 網路釣魚這個詞彙是用來定義利用社交工程 (操縱使用者以取得機密資訊) 的犯罪活動 網路釣魚通常用於存取 像是銀行帳號 PIN 碼等敏感資料 請在字彙中閱讀更多有關此活動的資訊 ESET File Security 提供網路釣魚防 護 封鎖已知會散佈這類內容的網頁 強烈建議您啟用 ESET File Security 中的網路釣魚防護 若要這麼做 請開啟 [進階設定] (F5) 然後瀏覽至 [Web 和電子郵件] > [網路釣魚防護] 造訪我們的知識庫文章以取得 ESET File Security 中網路釣魚防護的詳細資訊 存取網路釣魚網站 存取已識別的網路釣魚網站時 Web 瀏覽器中會顯示下列對話方塊 如果您仍想存取網站 請按一下 [前往網 站] (不建議) 注意 已列入白名單的潛在網路釣魚網站會依預設在數小時後過期 若要能永久存取該網站 請使用 URL 位址管理 工具 從 [進階設定] (F5) 展開 [Web 和電子郵件] > [Web 存取防護] > [URL 位址管理]> [位址清單] 按一下 [編輯] 再新增您要編輯的網站至此清單 網路釣魚網站回報 回報連結可讓您向 ESET 回報網路釣魚/ 惡意網站以供分析 附註 在將網站提交至 ESET 之前 請確定其符合下列一或多個條件 完全未偵測該網站 錯將該網站偵測為威脅 在此情況下 您可以回報誤判網路釣魚網站 137

138 或者您可以使用電子郵件提交該網站 將您的電子郵件傳送至 請記得使用敘述性主旨 並 盡可能提供網站的相關資訊 (例如 您是從哪一個網站參照至該網站 您如何得知該網站等等) 8.4 裝置控制 ESET File Security 包含自動裝置 (CD/DVD/USB/) 控制項 此模組可讓您掃描 封鎖或調整擴充的過濾/ 權限 以及 定義使用者存取和使用指定裝置的方式 若電腦管理員想要避免使用含有來路不明內容的裝置時 這功能便非 常實用 支援的外部裝置 磁碟儲存裝置 (HDD USB 卸除式磁碟) CD/DVD USB 印表機 FireWire 儲存裝置 藍牙裝置 智慧卡讀卡機 影像裝置 數據機 LPT/COM 連接埠 可攜式裝置 所有裝置類型 啟用 [整合至系統] 旁的切換以啟動 ESET File Security 中的裝置控制功能 若要使變更生效 您需要重新啟動電 腦 裝置控制規則與群組會變為作用中 以讓您編輯其設定 如果偵測到裝置遭到現有規則封鎖 將會顯示通知視窗且不授與裝置的存取權限 裝 置 控 制 規 則 編 輯 器 裝置控制規則編輯器視窗會顯示現有規則 並允許準確控制使用者連接到電腦的外部裝置 138

139 根據使用者 使用者群組 或任何可從規則設定中指定的其他參數 即可允許或封鎖特定裝置 規則清單中包含 數個規則說明 例如名稱 外部裝置類型 以及當偵測到裝置後所執行的處理方法和防護記錄嚴重性 在視窗底部使用下列按鈕管理規則 [新增] - 可讓您加入新的規則 [編輯] - 可讓您在現有規則上修改設定 [複製] - 會根據選取規則的參數建立新的規則 [移除] - 可讓您刪除選取的規則 或者 您可以使用特定規則旁的核取方塊以將其停用 如果您不想要永久 刪除規則 以便日後使用 此選項很有用 [填入] - 會偵測與您電腦連接的裝置的可移除媒體裝置參數 規則會依據優先順序列出 順序較高的規則會在頂端 您可以選取多個規則並套用動作 例如按一下 [頂 端/ 向上/ 向下/ 底端] (箭頭按鈕) 就能將規則刪除或在清單中向上或向下移動 在 [工具] > 防護記錄檔案中的 ESET File Security 的主要程式視窗中 您可檢視防護記錄項目 新 增 裝 置 控 制 規 則 裝置控制規則會定義符合規則條件的裝置連接到電腦時將採取的處理方法 將規則說明輸入到 [名稱] 欄位中 以便進一步識別 按一下 [已啟用規則] 旁的切換選項可停用或啟用此規則 如果您不想要永久刪除規則 此選項很有用 裝置類型 139

140 從下拉式功能表選擇外部裝置類型 (磁碟儲存裝置/ 可攜式裝置/ 藍牙/ FireWire/...) 裝置的類型是從作業系統繼 承 而且 如果裝置連接到電腦 可在系統裝置管理程式中看見裝置的類型 儲存裝置包括透過 USB 或 FireWire 連接的外部磁碟或常見的讀卡機 智慧卡讀卡機包括各種配備內嵌積體電路之智慧卡 (如 SIM 卡或驗證卡) 的讀 卡機 掃描器或相機都是影像裝置 這些裝置不會提供與使用者有關的資訊 而是僅與動作有關的資訊 這表示 影像裝置只能以全域方式封鎖 處理方法 可允許或封鎖對於非儲存裝置的存取 另一方面 儲存裝置的規則允許選取下列其中一個權限設定 讀取/ 寫入 - 將允許裝置的完整存取權限 封鎖 - 將封鎖裝置的存取權限 唯讀 - 僅允許讀取裝置的存取權限 警告 - 每次連線到一個裝置就會通知使用者是否允許存取該裝置或是要封鎖 並會建立一筆記錄項目 不會 記取裝置 針對相同裝置進行後續連線時仍會顯示通知 請注意 並非所有裝置類型都適用所有權限 (處理方法) 如果裝置有儲存空間 則可使用所有四種處理方法 對 於非儲存裝置 只可使用兩種處理方法 (例如 [唯讀] 不適用於藍牙 因此只能允許或封鎖藍牙裝置) 下面列出可用來微調規則並針對裝置進行調整的其他參數 所有參數均區分大小寫 供應商 - 依供應商名稱或 ID 進行過濾 型號 - 裝置的指定名稱 序號 - 外部裝置通常擁有其專屬的序號 若是 CD/DVD 則是指定的媒體會有序號 而非 CD 光碟機 注意 如果這三個描述元全為空白 則當比對時規則會忽略這些欄位 所有文字欄位中的過濾參數均不區分大小 寫 且不支援萬用字元 (* 與?) 為了查明裝置的參數 可為該類型的裝置建立規則 將裝置連接到電腦 然後查看裝置控制防護記錄中的裝置 詳細資訊 嚴重性 永遠 - 記錄全部的事件 診斷 - 記錄微調程式時所需的資訊 資訊 - 記錄資訊性訊息 包含成功更新訊息及上述所有記錄 警告 - 記錄嚴重錯誤及警告訊息 無 - 不記錄任何防護記錄 將某些使用者或使用者群組新增至 [使用者清單] 即可將規則限制在某些使用者或使用者群組 新增 - 開啟 [物件類型 使用者或群組] 對話方塊視窗 可讓您選取所需的使用者 移除 - 從過濾移除選取的使用者 附註 所有裝置都會受到使用者規則過濾 (例如影像裝置不會提供與使用者有關的資訊 而是僅與呼叫的動作有 關) 偵 測 到 的 裝 置 [填入] 按鈕會就所有目前已連接裝置提供下列相關資訊概觀 裝置類型 裝置廠商 型號和序號 (若有的話) 當 您選取裝置 (從 偵測到的裝置 清單) 並按一下 [確定] 這時規則編輯器視窗會出現並顯示預先定義的資訊 (所 有設定都能調整) 140

141 8.4.4 裝 置 群 組 [裝置群組] 視窗分成兩部分 視窗右側包括屬於個別群組的裝置清單 視窗左側包含現有群組的清單 選取群 組 其中包含您要顯示在右窗格中的裝置 警告 連接至您電腦的外部裝置可能會造成安全性風險 當您開啟 [裝置群組] 視窗並選取群組時 您可以從清單新增或移除裝置 另一種將裝置新增至群組的方式為從 檔案匯入 或者 您可以按一下 [填入] 所有連接到您電腦的裝置便會列示於 [偵測到的裝置] 視窗 從已填入 清單選取裝置 按一下 [確定] 將其新增至群組 注意 您可以建立不同裝置群組 並套用不同規則 您也可以建立裝置的單一群組 並設定為 [讀取/ 寫入] 或 [唯 讀] 這樣可確保在無法辨識的裝置連接至您電腦時 裝置控制會將其封鎖 以下是可用的功能 [新增] - 會透過輸入裝置群組名稱或新增裝置至現有的群組 並根據您在視窗內按下按鈕的地方 加入新的 裝置群組 (或者 您可以指定詳細資料 例如供應商名稱 型號和序號) [編輯] - 可讓您修改包含在內(供應商 型號 序號) 的裝置的選取群組名稱或參數 [移除] - 會根據您在視窗中按下的地方刪除選取的群組或裝置 匯入 - 會從檔案匯入裝置的序號清單 [填入] - 會偵測與您電腦連接的裝置的可移除媒體裝置參數 當您完成自訂時 請按一下 [確定] 按一下 [取消] 以離開 [裝置群組] 視窗而不儲存您的變更 附註 請注意 並非所有裝置類型都適用所有處理方法 (權限) 對於儲存裝置 可使用全部四種處理方法 對於非 儲存裝置 則只有兩種處理方法 (例如 藍牙無法使用 [唯讀] 處理方法 因此系統僅可允許 封鎖或警告藍 牙裝置) 8.5 工具 下列進階設定適用於 ESET File Security 在 GUI 主視窗 [工具] 索引標籤之下提供的所有工具 防護記錄檔案 Proxy 伺服器 電子郵件通知 簡報模式 診斷 叢集 E S E T Liv e Grid ESET LiveGrid 是進階的預早警告系統 結合多項雲端技術 其幫助根據聲譽偵測新出現的威脅 並透過白名單改 善掃描效能 新的威脅資訊會即時串流到雲端 讓 ESET 惡意軟體研究實驗室能及時回應 並隨時提供一致的防 護 使用者可直接從程式的介面或關聯式功能表 查看執行中的處理程序與檔案的聲譽 以及可從 ESET LiveGrid 取得的其他資訊 安裝 ESET File Security 時 請選取以下其中一個選項 1. 您可以決定不啟用 ESET LiveGrid 您的軟體不會失去任何功能 但在有些情況下 ESET File Security 可能會比 病毒資料庫更新更慢回應新威脅 2. 您可以配置 ESET LiveGrid 以提交新威脅與偵測到新威脅代碼位置的匿名資訊 此檔案可傳送至 ESET 以供 詳細分析 研究這些威脅會協助 ESET 更新其威脅偵測能力 141

142 ESET LiveGrid 會收集與新偵測到之威脅相關的電腦資訊 此資訊可能包括出現威脅的檔案範例或副本 檔案路 徑 檔案名稱 日期與時間 威脅出現在電腦上的程序 以及電腦作業系統的相關資訊 依預設 ESET File Security 配置為將可疑檔案提交至 ESET 病毒實驗室以供分析 例如.doc 或.xls 等某些副檔名 的檔案一律排除 如果有您或您的組織要避免傳送的特殊檔案 您也可以新增其他副檔名 ESET LiveGrid 聲譽系統提供雲端型白名單和黑名單 若要存取 ESET LiveGrid 的設定 請按 F5 進入 [進階設定] 展開 [工具] > ESET LiveGrid 啟用 ESET LiveGrid 聲譽系統 (建議) - ESET LiveGrid 聲譽系統可將掃描的檔案與雲端中的白名單和黑名單項目比 較 以改善 ESET 惡意軟體防護解決方案的效益 提交匿名統計 - 允許 ESET 收集新偵測到威脅的相關資訊 例如威脅名稱 偵測的日期與時間 偵測方法與關聯 的中繼資料 產品版本與配置 (包括您系統的相關資訊) 提交樣本 - 類似威脅的可疑範例 和/ 或有異常特性或行為的範例 可提交至 ESET 進行分析 選取 [啟用記錄] 可建立事件防護記錄 以記錄檔案及統計資訊提交 當傳送檔案或統計資訊時 此選項允許記 錄在事件防護記錄中 [連絡人電子郵件 (選用)] - 傳送任何可疑的檔案時會連同您的連絡人電子郵件一併傳送 在分析時若需要您提 供進一步的資訊 便可利用這個電子郵件連絡您 請注意 除非需要更多資訊 否則您將不會收到 ESET 的任何 回應 142

143 [排除] - 排除過濾可讓您排除某些不提交的檔案/ 資料夾 (例如 您可使用此選項 排除可能包含機密資訊的檔 案 例如文件或試算表) 絕對不會將列出的檔案傳送至 ESET 實驗室以供分析 即使其包含可疑代碼 依預設 最 常見的檔案類型 (.doc 等) 均會被排除在外 如果需要 您可以新增到排除檔案清單中 如果您使用過 ESET LiveGrid 但現已停用 則可能還有待傳送的資料套件 即使已停用 此類套件仍會傳送到 ESET 一旦已傳送所有目前資訊 便不會繼續建立套件 排 除 過 濾 在 ESET LiveGrid 排除旁的編輯選項可讓您配置將威脅提交至 ESET 病毒實驗室進行分析的方法 如果您找到可疑檔案 您可以提交給我們的威脅實驗室進行分析 若檔案為惡意的應用程式 則其偵測會新增 到下一個病毒資料庫更新 143

144 8.5.2 Mic ro s o ft W ind o ws 更 新 Windows 更新可針對具有潛在危險性的弱點提供重要的修復程式 並提升電腦的一般安全等級 因此 當有可 用的 Microsoft Windows 更新時 立即安裝更新是很重要的 ESET File Security 會根據指定的層級通知您遺漏的 更新 以下是可用的層級 無更新 - 不提供系統更新下載 選用更新 - 提供下載標記為低與更高優先順序的更新 建議更新 - 提供下載標記為一般與更高優先順序的更新 重要更新 - 提供下載標記為重要與更高優先順序的更新 重大更新 - 只提供重大更新下載 按一下 [確定] 儲存變更 在與更新伺服器進行狀態驗證之後 會顯示 [系統更新] 視窗 在儲存變更之後 可能 不會立即出現系統更新資訊 E S E T CMD 此為啟用進階 ecmd 命令的功能 其可讓您使用命令列 (ecmd.exe) 匯出及匯入設定 直到目前為止 僅可以使 用 GUI 匯出設定 ESET File Security 配置可匯出到. xml 檔案 當您已啟用 ESET CMD 有兩種授權方法可用 [無] - 無授權 我們不建議您使用此方法 因為其允許匯入任何未簽署的配置 因而造成潛在的風險 [進階設定密碼] - 從. xml 檔案匯入配置需要密碼 這支檔案必須經過簽署 (請參閱更下方的簽署. xml 配置檔 案) 必須在新的配置匯入之前 提供指定於存取設定的密碼 如果您沒有已啟用的存取設定 密碼不符或.xml 配置檔案未經簽署 配置將不會匯入 ESET CMD 啟用後 您可以使用指令列匯入或匯出 ESET File Security 配置 您可以手動操作 或建立指令碼以自動 操作 重要 若要使用進階 ecmd 命令 您需要以管理員權限執行它們 或使用 [以管理員身分執行] 開啟 Windows 命令 提示字元 (cmd) 否則 您會得到 Error executing command. 訊息 此外 匯出配置時 目的地資料夾必須存 在 即使在 ESET CMD 設定關閉時 匯出指令同樣會運作 範例 匯出設定命令 ecmd /getcfg c:\config\settings.xml 匯入設定命令 ecmd /setcfg c:\config\settings.xml 附註 進階 ecmd 命令只能在本機執行 使用 ERA 的執行用戶端工作 [執行命令] 不會運作 簽署. xml 配置檔案 1. 下載 XmlSignTool 執行檔 2. 使用 [以管理員身分執行] 開啟 Windows 命令提示字元 (cmd) 3. 瀏覽至 xmlsigntool.exe 的位置 4. 執行命令以簽署. xml 配置檔案 使用 xmlsigntool /version 1 2 <xml_file_path> 重要 /version 144 參數值取決於您的 ESET File Security 版本 使用 ESET File Security 6.5 的 /version 1

145 5. 收到 XmlSignTool 提示時 請輸入並重新輸入您的進階設定密碼 您的. xml 配置檔案現在已完成簽署 而 且可以用於匯入另一個具有 ESET CMD 的 ESET File Security 實例 方式為使用密碼授權方法 範例 簽署已匯出的配置檔案命令 xmlsigntool /version 1 c:\config\settings.xml 附註 如果您的存取設定密碼已變更 而您想匯入較早以舊密碼簽署的配置 您可以使用目前的密碼再次簽署. xml 配置檔案 這可讓您使用較舊的配置檔案 而不需要在匯入前先匯出配置檔案到另一台執行 ESET File Security 的電腦 W MI 提 供 者 關於 WMI Windows Management Instrumentation (WMI) 是 Microsoft 對於 Web-Based Enterprise Management (WBEM) 的實 作 此一業界計畫的目的是為了開發能在企業環境中存取管理資訊的標準技術 如需有關 WMI 的詳細資訊 請參閱 aa384642(v=vs.85).aspx ESET WMI 提供者 ESET WMI 提供者的目的是為了在企業環境中遠端監控 ESET 產品而不需要使用任何 ESET 特定軟體或工具 在透 過 WMI 揭露基本產品 狀態和統計資訊之後 我們將能大幅提升企業系統管理員監控 ESET 產品的效能 管理員 可利用 WMI 提供的幾種存取方法 (命令列 指令碼和第三方企業監控工具) 來監控 ESET 產品的狀態 目前的實作可讓您以唯讀方式存取基本產品資訊 已安裝的功能與其保護狀態 個別掃描器的統計和產品防護 記錄檔案 WMI 提供者能使用標準 Windows WMI 基礎結構和工具來讀取產品狀態和產品記錄 145

146 提 供 的 資 料 所有與 ESET 產品有關的 WMI 類別皆位於 root\eset 命名空間 目前已實作下列詳細描述的類別 一般: ESET_Product ESET_Features ESET_Statistics 防護記錄 ESET_ThreatLog ESET_EventLog ESET_ODFileScanLogs ESET_ODFileScanLogRecords ESET_ODServerScanLogs ESET_ODServerScanLogRecords ESET_MailServerLog ESET_Product 類別 ESET_Product 類別的執行個體只能有一個 此類別的屬性會參考與已安裝的 ESET 產品有關的基本資訊 ID - 產品類型識別碼 例如 emsl 名稱 - 產品名稱 例如 ESET Mail Security 完整名稱 - 產品名稱 例如 IBM Domino 適用的 ESET Mail Security 版本 - 產品版本 例如 VirusDBVersion - 病毒資料庫修訂 例如 ( ) VirusDBLastUpdate - 病毒資料庫上次更新的時間郵戳 以 WMI 日期時間格式包含時間郵戳的字串 例如 LicenseExpiration - 授權到期時間 以 WMI 日期時間格式包含時間郵戳的字串 KernelRunning - 此布林值指出電腦是否執行 ekrn 服務 例如 TRUE StatusCode - 表示產品防護狀態的數字 0 - 綠色 (正常) 1 - 黃色 (警告) 2 - 紅色 (錯誤) StatusText - 表示非零狀態碼原因的訊息 否則為 null ESET_Features 類別 ESET_Features 類別有多個執行個體 視產品功能的數目而定 每個執行個體均包含 Name - 功能的名稱 (名稱清單如下所述) Status - 功能的狀態 0 - 作用中 1 - 已停用 2 - 已啟用 表示目前已識別的產品功能的字串清單 146 CLIENT_FILE_AV - 即時檔案系統病毒防護 CLIENT_WEB_AV - 用戶端 Web 病毒防護 CLIENT_DOC_AV - 用戶端文件病毒防護 CLIENT_NET_FW - 用戶端個人防火牆 CLIENT_ _AV - 用戶端電子郵件病毒防護 CLIENT_ _AS - 用戶端垃圾電子郵件防護 SERVER_FILE_AV - 受保護檔案伺服器產品上的即時檔案病毒防護 例如 ESET File Security 中 SharePoint 內容 資料庫的檔案 SERVER_ _AV - 受保護伺服器產品的電子郵件病毒防護 例如 MS Exchange 或 IBM Domino 中的電子郵 件 SERVER_ _AS - 受保護伺服器產品的垃圾電子郵件防護 例如 MS Exchange 或 IBM Domino 中的電子郵 件 SERVER_GATEWAY_AV - 閘道上受保護網路通訊協定的病毒防護 SERVER_GATEWAY_AS - 閘道上受保護網路通訊協定的垃圾郵件防護

147 ESET_Statistics 類別 ESET_Statistics 類別有多個執行個體 視產品中的掃描器數目而定 每個執行個體均包含 Scanner - 特殊掃描器的字串碼 例如 CLIENT_FILE Total - 掃描的檔案總數 Infected - 已發現受感染的檔案數目 Cleaned - 已清除的檔案數目 Timestamp - 上次變更此統計資料的時間郵戳 以 WMI 日期時間格式表示 例如 ResetTime - 上次重設統計資料計數器的時間郵戳 以 WMI 日期時間格式表示 例如 表示目前已識別之掃描器的字串清單 CLIENT_FILE CLIENT_ CLIENT_WEB SERVER_FILE SERVER_ SERVER_WEB ESET_ThreatLog 類別 ESET_ThreatLog 類別有多個執行個體 每個都代表一筆 Detected threats 的防護記錄 每個執行個體均包含 ID - 此防護記錄的唯一 ID Timestamp - 建立防護記錄的時間郵戳 (使用 WMI 日期/ 時間格式) LogLevel - 以數字 [0-8] 表示的防護記錄嚴重性層級 對應下列具名層級的值 Debug Info-Footnote Info Info-Important Warning Error SecurityWarning Error-Critical SecurityWarning-Critical Scanner - 建立此防護記錄事件的掃描器名稱 ObjectType - 產生此防護記錄事件的物件類型 ObjectName - 產生此防護記錄事件的物件名稱 Threat - 在 ObjectName 和 ObjectType 屬性所描述的物件中發現的威脅名稱 Action - 在識別威脅之後執行的處理方法 User - 導致此防護記錄事件產生的使用者帳戶 Information - 事件的其他說明 ESET_EventLog ESET_EventLog 類別有多個執行個體 每個都代表一筆 Events 的防護記錄 每個執行個體均包含 ID - 此防護記錄的唯一 ID Timestamp - 建立防護記錄的時間郵戳 (使用 WMI 日期/ 時間格式) LogLevel - 以數字 [0-8] 間隔表示的防護記錄嚴重性層級 對應下列具名層級的值 Debug Info-Footnote Info Info-Important Warning Error SecurityWarning Error-Critical SecurityWarning-Critical Module - 建立此防護記錄事件的模組名稱 Event - 事件的說明 User - 導致此防護記錄事件產生的使用者帳戶 ESET_ODFileScanLogs ESET_ODFileScanLogs 類別有多個執行個體 每個都代表一筆指定檔案掃描的記錄 這等同於防護記錄的 GUI 指 定電腦掃描 清單 每個執行個體均包含 ID - 此指定防護記錄的唯一 ID Timestamp - 建立防護記錄的時間郵戳 (使用 WMI 日期/ 時間格式) Targets - 掃描的目標資料夾/ 物件 TotalScanned - 掃描的物件總數 Infected - 發現的受感染物件數目 Cleaned - 已清除的物件數目 Status - 掃描程序的狀態 147

148 ESET_ODFileScanLogRecords ESET_ODFileScanLogRecords 類別有多個執行個體 每個都代表一筆防護記錄 這些記錄都位於 ESET_ODFileScanLogs 類別執行個體所表示的其中一個掃描防護記錄中 此類別的執行個體提供所有指定掃描/ 記錄的防護記錄 如果只要求特殊掃描防護記錄的執行個體 則必須由 LogID 屬性過濾 每個類別執行個體均包 含 LogID - 此記錄所屬的掃描防護記錄 ID (ESET_ODFileScanLogs 類別的其中一個執行個體的 ID) ID - 此掃描防護記錄的唯一 ID Timestamp - 建立防護記錄的時間郵戳 (使用 WMI 日期/ 時間格式) LogLevel - 以數字 [0-8] 表示的防護記錄嚴重性層級 對應下列具名層級的值 Debug Info-Footnote Info Info-Important Warning Error SecurityWarning Error-Critical SecurityWarning-Critical Log - 實際的防護記錄訊息 ESET_ODServerScanLogs ESET_ODServerScanLogs 類別有多個執行個體 每個都代表執行一次指定伺服器掃描 每個執行個體均包含 ID - 此指定防護記錄的唯一 ID Timestamp - 建立防護記錄的時間郵戳 (使用 WMI 日期/ 時間格式) Targets - 掃描的目標資料夾/ 物件 TotalScanned - 掃描的物件總數 Infected - 發現的受感染物件數目 Cleaned - 已清除的物件數目 RuleHits - 規則命中總數 Status - 掃描程序的狀態 ESET_ODServerScanLogRecords ESET_ODServerScanLogRecords 類別有多個執行個體 每個都代表一筆防護記錄 這些記錄都位於 ESET_ODServerScanLog 類別執行個體所表示的其中一個掃描防護記錄中 此類別的執行個體提供所有指定掃 描/ 記錄的防護記錄 如果只要求特殊掃描防護記錄的執行個體 則必須由 LogID 屬性過濾 每個類別執行個體 均包含 LogID - 此記錄所屬的掃描防護記錄 ID (ESET_ ODServerScanLogs 類別的其中一個執行個體的 ID) ID - 此掃描防護記錄的唯一 ID Timestamp - 建立防護記錄的時間郵戳 (使用 WMI 日期/ 時間格式) LogLevel - 以數字 [0-8] 間隔表示的防護記錄嚴重性層級 對應下列具名層級的值 Debug Info-Footnote Info Info-Important Warning Error SecurityWarning Error-Critical SecurityWarning-Critical Log - 實際的防護記錄訊息 ESET_GreylistLog ESET_GreylistLog 類別有多個執行個體 每個都代表一筆 Greylist 的防護記錄 每個執行個體均包含 ID - 此防護記錄的唯一 ID Timestamp - 建立防護記錄的時間郵戳 (使用 WMI 日期/ 時間格式) LogLevel - 以數字 [0-8] 表示的防護記錄嚴重性層級 對應下列具名層級的值 Debug Info-Footnote Info Info-Important Warning Error SecurityWarning Error-Critical SecurityWarning-Critical HELODomain - HELO 網域的名稱 IP - 來源 IP 位址 Sender - 電子郵件寄件者 Recipient - 電子郵件收件者 Action - 執行的處理方法 TimeToAccept - 開始接受電子郵件之前的分鐘數 148

149 存 取 提 供 的 資 料 以下是一些如何從 Windows 命令列和 PowerShell 存取 ESET WMI 資料的範例 並可適用於任何目前的 Windows 作業系統 不過仍有其他許多方法可存取其他指令碼語言和工具 不含指令碼的命令列 wmic 命令列工具可用來存取各種預先定義或任何自訂的 WMI 類別 若要顯示與本機產品有關的完整資訊 wmic /namespace:\\root\eset Path ESET_Product 若只要顯示本機產品的產品版本號碼 wmic /namespace:\\root\eset Path ESET_Product Get Version 若要顯示與遠端機器 (IP ) 產品有關的完整資訊 wmic /namespace:\\root\eset /node: /user:administrator Path ESET_Product PowerShell 取得及顯示與本機產品有關的完整資訊 Get-WmiObject ESET_Product -namespace 'root\eset' 取得及顯示與遠端機器 (IP ) 產品有關的完整資訊 $cred = Get-Credential # 提示使用者的憑證並以變數儲存 Get-WmiObject ESET_Product -namespace 'root\eset' -computername ' ' -cred $cred E R A 掃 描 目 標 此功能可讓 ESET Remote Administrator 在具有 ESET File Security 的伺服器上執行伺服器掃描用戶端工作時 為 Hyper-V 掃描使用掃描目標 只有在您已安裝 ERA Agent 並出現 Hyper-V ERA 掃描目標設定才可供使用 否則 會呈現灰色 (停用) 狀態 當您啟用 [產生目標清單] 時 ESET File Security 會建立可用的掃描目標清單 此清單會根據您的 [更新期間] 定 期產生 注意 第一次啟用 [產生目標清單] 時 ERA 約需指定 [更新期間] 的一半時間來作業 假設 [更新期間] 設為 60 分 鐘 ERA 約需 30 分鐘接收掃描目標清單 若您需要 ERA 更快收集清單 請將更新期間設為較小的數值 您可 以稍後再增加數值 149

150 當 ERA 要執行 [伺服器掃描] 用戶端工作時 會收集清單並要求您選取要在該特定伺服器上進行 Hyper-V 掃描的 掃描目標 防 護 記 錄 檔 案 本區段可讓您修改 ESET File Security 記錄的配置 記錄都會寫入至 [事件] 防護記錄 ( C:\ProgramData\ESET\ESET File Security\Logs\warnlog.dat ) 並可以在防護記錄檔案檢視器中檢視 使用切換來啟用或停用特定的功能 診斷記錄 [叢集診斷記錄] - 叢集記錄會包含在一般診斷記錄中 附註 若要開始記錄防護記錄 請在 [設定] > 工具 下的主要功能表中的產品層級上啟用 [診斷記錄] 一旦記錄開 啟 ESET File Security 會根據在此區段啟用了什麼功能來收集詳細防護記錄 [防護記錄檔案] 定義管理防護記錄的方式 避免過度使用磁碟是非常重要的一件事 預設設定會允許自動 刪除較舊的防護記錄以節省硬碟空間 150

151 將自動刪除超過 [自動刪除超過指定 (天數) 的記錄] 欄位中指定天數的防護記錄項目 如果防護記錄大小超過 則自動刪除舊記錄 - 防護記錄檔案大小超過 [防護記錄大小上限 [MB]] 時 將刪除 舊的防護記錄 直到達到 [減少後的防護記錄大小 [MB]] 為止 [備份自動刪除的記錄] - 將自動刪除的防護記錄與檔案備份到指定的目錄 並可選擇性壓縮 [備份診斷防護記錄] - 將備份自動刪除的診斷防護記錄 未啟用則不會備份診斷防護記錄 備份資料夾 - 將儲存防護記錄備份的資料夾 您可以啟用 [使用 ZIP 壓縮防護記錄備份] [自動最佳化防護記錄檔案] - 如果已啟用 且片段高於 [如果未使用的記錄數目超過 (%)] 欄位所指定的值 則將自動重組防護記錄檔案 按一下 [最佳化] 開始重組防護記錄檔案 將會移除所有空白的防護記錄項目以提升效能及防護記錄處理速 度 如果防護記錄包含大量的項目 則可明顯察覺此提升效果 開啟 [啟用文字通訊協定] 以啟用除了防護記錄檔案以外 還可用其他檔案格式來儲存防護記錄檔案 [目標目錄] - 防護記錄檔案所儲存的目錄 (僅適用於 Text/CSV) 每個防護記錄區段皆具備已預先定義檔案名 稱的檔案 (例如 若您使用純文字檔案格式以儲存防護記錄 則 virlog.txt 適用於防護記錄檔案的 [偵測到威 脅] 區段) [類型] - 若您選擇 [文字] 檔案格式 則防護記錄將以文字檔格式儲存 而資料將以索引標籤分隔 相同方法也 適用於以逗號分隔的 [CSV] 檔案格式 若您選擇 [事件] 防護記錄將儲存於 Windows 事件記錄檔 (可使用 [控 制台] 中的 [事件檢視器] 進行檢視) 與檔案相反 [刪除] 會消除所有目前在 [類型] 下拉式功能表中所選取的已儲存防護記錄 附註 為了協助您更快速解決問題 ESET 客戶服務可能會要求您提供電腦中的防護記錄 ESET Log Collector 讓收集 所需資訊變得更加容易 如需 ESET Log Collector 的詳細資訊 請參閱我們的資料庫文章 151

152 防 護 記 錄 過 濾 防護記錄儲存重要系統事件的相關資訊 防護記錄過濾功能可讓您顯示特定事件類型的記錄 將搜尋關鍵字輸入 [尋找文字] 欄位中 使用 [搜尋直欄]下拉式功能表縮小您的搜尋範圍 記錄類型 - 從下拉式功能表中選擇一或多個記錄防護記錄類型 診斷 - 要微調程式和上述的所有記錄所需的防護記錄資訊 資訊 - 記錄資訊性訊息 包含成功更新訊息及上述所有記錄 警告 - 記錄嚴重錯誤及警告訊息 錯誤 - 記錄諸如 下載檔案時發生錯誤 等類型的錯誤及嚴重錯誤 嚴重 - 僅記錄嚴重錯誤 (啟動病毒防護) 時段 - 定義要顯示結果的時段 所有文字須相符 - 若您想利用特定的完整文字進行更精確的搜尋 請選取此核取方塊 區分大小寫 - 若是過濾時使用大小寫字母對您而言很重要 請啟用此選項 在 防 護 記 錄 中 尋 找 除了防護記錄過濾 您可以使用防護記錄檔案中的搜尋功能 不過您也可以在防護記錄過濾之外單獨使用此功 能 搜尋防護記錄中特定的記錄時 可使用此功能 和 [防護記錄過濾] 一樣 此搜尋功能可協助找出您搜尋的資 料 尤其是有許多記錄的情況下 在防護記錄中使用搜尋功能時 您可以輸入特定字串以 [尋找文字] 使用 [搜尋直欄] 下拉式功能表以依直欄 過濾 選取 [記錄類型] 並設定 [時段] 以僅搜尋特定時段中的紀錄 指定某些搜尋選項時 將在 [防護記錄檔案] 視窗中搜尋相關的記錄 (根據這些搜尋選項) 尋找文字 輸入字串 (整個單字或單字的一部分) 將僅尋找包含此字串的記錄 將忽略其他記錄 搜尋直欄:選取搜尋時將考慮哪些直欄 您可以勾選將用於搜尋的一個或多個直欄 預設將勾選所有的直欄 時間 掃描的資料夾 事件 使用者 記錄類型 從下拉式功能表中選擇一或多個記錄防護記錄類型 診斷 - 要微調程式和上述的所有記錄所需的防護記錄資訊 資訊 - 記錄資訊性訊息 包含成功更新訊息及上述所有記錄 警告 - 記錄嚴重錯誤及警告訊息 錯誤 - 記錄諸如 下載檔案時發生錯誤 等類型的錯誤及嚴重錯誤 嚴重 - 僅記錄嚴重錯誤 (啟動病毒防護) 時間 定義要顯示結果的時段 未指定 (預設) - 不搜尋時間內的記錄 而搜尋整個防護記錄 前一天 上一週 上個月 時段 - 您可以指定確切的時間 (日期和時間) 以便僅搜尋指定時段內的記錄 所有文字相符 - 僅尋找與 [什麼] 文字方塊中的整個單字相符的字串記錄 大小寫須相符 - 僅尋找與 [什麼] 文字方塊中的確切大寫相符的字串記錄 向上搜尋 - 從目前位置向上搜尋 一旦配置搜尋選項 按一下 [尋找] 即可開始搜尋 找到第一個對應的記錄時 搜尋便會停止 再按一下 [尋找] 即可查看其他記錄 此時會從目前的位置 (強調顯示的記錄) 由上至下搜尋防護記錄檔案 152

153 8.5.7 P ro xy 伺 服 器 在大型 LAN 網路中 Proxy 伺服器可用來調節電腦與網際網路的連線 如果是這種情況 則需要定義下列設定 否則 程式將無法自動進行更新 在 ESET File Security 中 Proxy 伺服器設定位於 [進階設定] 視窗 (F5) 的兩個不 同區段中 1. [進階設定] > [更新] > [設定檔] > [HTTP Proxy] - 此設定適用於指定更新設定檔 且建議用於通常會從遠端位 置接收病毒碼更新的筆記型電腦 如需更多有關此設定的資訊 請參閱進階更新設定一節 2. [進階設定] > [工具] > [Proxy 伺服器] - 在這個層級指定 Proxy 伺服器 會定義所有 ESET File Security 的全域 Proxy 伺服器設定 連線到網際網路的所有模組 都會使用這裡的參數 若要指定此層級的 Proxy 伺服器設定 請開啟 [使用 Proxy 伺服器] 然後將 Proxy 伺服器的位址和 [連接埠] 號 碼輸入 [Proxy 伺服器] 欄位中 如果與 Proxy 伺服器之間的通訊需要驗證 請開啟 [Proxy 伺服器需要驗證] 並將有效的 [使用者名稱] 及 [密碼] 輸入各自的欄位中 按一下 [偵測] 以自動偵測和填入 Proxy 伺服器設定 將複製 Internet Explorer 中指定的參數 注意 此功能不會擷取驗證資料 (使用者名稱及密碼) 而必須由您提供 如果 Proxy 無法使用 請使用直接連線 - 如果產品已配置為使用 HTTP Proxy 且 Proxy 無法存取 產品將避開 Proxy 並與 ESET 伺服器直接通訊 153

154 8.5.8 電 子 郵 件 通 知 如果發生與所選簡化層級相關的事件 則 ESET File Security 可以自動傳送電子郵件通知 啟用 [利用電子郵件 傳送事件通知] 以啟動電子郵件通知 注意 ESET File Security 支援具備 TLS 加密功能的 SMTP 伺服器 SMTP 伺服器 -用於傳送通知的 SMTP 伺服器 使用者名稱及密碼 -如果 SMTP 伺服器需要驗證 則應該在這些欄位中填寫有效的使用者名稱及密碼 以存 取 SMTP 伺服器 寄件者地址 - 輸入將在通知電子郵件檔頭顯示的寄件者地址 收件者會在 [寄件者] 欄位中看見這些資訊 收件者地址 -指定收件者的電子郵件地址收件者 通知將會傳遞給該收件者 通知最簡化 - 指定要傳送通知的最小冗贅層級 啟用 TLS - 啟用 TLS 加密支援的警告及通知訊息 傳送新通知電子郵件的間隔 (分鐘) - 以電子郵件傳送新通知的間隔 (分鐘) 如果您要立即傳送這些通知 請 將該值設為 0 以不同的電子郵件傳送每個通知 - 啟用後 收件者會收到各個通知的新電子郵件 這可能會造成短時間內收 到大量的電子郵件 訊息格式 事件訊息格式 - 在遠端電腦顯示的事件訊息格式 另請參閱編輯格式 威脅警告訊息格式 - 威脅警告及通知訊息具有預先定義的預設格式 我們建議您不要變更此格式 然而 在 某些情況下 (例如 如果您具有自動電子郵件處理系統) 您可能需要變更訊息格式 另請參閱編輯格式 154

155 使用本機字母字元 -以 Windows Regional 設定的編碼將電子郵件訊息轉換為 ANSI 字元 (例如 windows1250) 如果您將此選項保持為空白 則訊息會以 ACSII 7 位元轉換並編碼 (例如 " á" 會變更為 " a" 未知符號會 變更為 "?") 使用本機字元編碼 -電子郵件訊息來源會編碼為 Quoted-printable (QP) 格式 此格式會使用 ASCII 字元 並正 確透過電子郵件以 8 位元格式 (áéíóú) 傳輸特殊國家字元 訊 息 格 式 程式與遠端使用者或系統管理員之間的通訊是透過電子郵件或區域網路訊息 (使用 Windows 傳訊服務) 來完成 的 在大部分情況下 警告訊息及通知的預設格式是最佳的 在部分情況下 您可能需要變更事件訊息的訊息格 式 訊息中的關鍵字 (以 %符號分隔的字串) 會由特定的實際資訊取代 可用關鍵字如下所示 %TimeStamp% - 事件的日期及時間 %Scanner% - 模組的相關資訊 %ComputerName% - 發生警告的電腦名稱 %ProgramName% - 產生警告的程式 %InfectedObject% - 受感染的檔案 郵件等的名稱 %VirusName% - 感染的識別碼 %ErrorDescription% - 非病毒事件的說明 %InfectedObject% 及 %VirusName% 關鍵字僅用於威脅警告訊息 而 %ErrorDescription% 僅用於事件訊息 簡 報 模 式 簡報模式是一項專為要求可不間斷地使用軟體 不想受到快顯視窗打擾 而且想要將用量減到最少的 CPU 使用 者所設計的功能 簡報模式也可在簡報期間使用 在此期間中病毒活動無法干擾簡報 啟用時 將會停用所有快 顯視窗 也不會執行已排程的工作 然而 系統保護功能仍會在背景執行 不需要和使用者互動 啟用時 將會 停用所有快顯視窗 也不會執行已排程的工作 然而 系統保護功能仍會在背景執行 不需要和使用者互動 按一下 [設定] > [電腦] 然後按一下 [簡報模式] 旁的切換以手動啟用簡報模式 在 [進階設定] 視窗 (F5) 中 按一下 [工具] > [簡報模式] 然後按一下 [以全螢幕模式執行應用程式時自動 啟用簡報模式] 以在全螢幕模式執行應用程式時讓 ESET File Security 自動啟用簡報模式 啟用簡報模式有潛 在的安全性風險 所以工作列上的監視狀態圖示會變成橙色並顯示警告 您也會在主要程式視窗中看見這個 警告 [簡報模式已啟用] 則以橙色顯示 當 [以全螢幕模式執行應用程式時自動啟用簡報模式] 為 [已啟用] 只要您啟動全螢幕應用程式 簡報模式就 會啟動 並在您結束應用程式之後自動停止 這對於在啟動遊戲 開啟全螢幕應用程式或開始簡報之後 立即啟 動簡報模式來說特別有用 您也能選取 [自動停用簡報模式於] 以定義一段時間 (分鐘) 簡報模式會在這段時間過後自動停用 診 斷 診斷可提供 ESET 處理程序 (例如 ekrn) 的應用程式當機傾印 如果應用程式當機 就會產生傾印 這可以協助開 發人員除錯和修正各種 ESET File Security 問題 按一下 [傾印類型] 旁的下拉式功能表 並從三個可用選項中選 取一個 選取 [停用] (預設) 來停用這項功能 最小 - 記錄最低限度的有用資訊 可用來協助識別應用程式意外當機的原因 如果空間有限 這種傾印檔案就 很有助益 然而 因為資訊受限 所以分析此檔案時 可能會找不到發生問題時並非由正在執行之執行緒直接 造成的錯誤 完整 - 記錄系統記憶體在應用程式意外停止時的所有內容 完整記憶體傾印可能包含收集記憶體傾印時正在 執行之處理程序的內容 啟用通訊協定過濾進階記錄 - 以 PCAP 格式記錄所有通過通訊協定過濾引擎的資料 以協助開發人員診斷及 修正通訊協定過濾的相關問題 目標目錄 - 在當機期間產生傾印的目錄 155

156 開啟診斷資料夾 - 按一下 [開啟] 在新的 [Windows 檔案總管] 視窗內開啟此目錄 客 戶服 務 提交系統配置資料 - 從下拉式清單中選取 [一律提交] 或選取 [提交之前詢問] 以在提交資料前先提示您 叢 集 配置 ESET 叢集 後會自動啟用 [啟用叢集] 您可以在 [進階設定] 視窗中按一下切換圖示來手動停用叢集 (適 合您需要變更配置時使用 且不會影響其他 ESET 叢集 中的節點) 此選項僅會啟用或停用 ESET 叢集 功能 若 要正常設定或銷毀叢集 請使用 叢集精靈 或位於主要程式視窗中 [工具] > [叢集] 區段的 [銷毀] 叢集 ESET 叢集 未配置且已停用: 156

157 使用 ESET 叢集 的詳情和選項進行正確配置 如需有關 ESET 叢集 的資訊 請按一下這裡 8.6 使用者介面 [使用者介面] 區段可讓您配置程式圖形使用者介面 (GUI) 的行為 您可以調整程式的視覺外觀與使用的特效 使用者介面元素 您可以在 [使用者介面元素] 區段中調整工作環境 使用 [GUI 啟動模式] 下拉式功能表 從下列圖形使用者介 面 (GUI) 啟動模式中選取 o 完整 - 將會顯示完整的圖形使用者介面 (GUI) o 終端機 - 不會顯示任何通知或警告 GUI 只能由管理員啟動 如果圖形元素會減慢電腦執行的效能或導致其 他問題 則使用者介面應該要設定成 [終端機] 您可能也想要關閉終端機伺服器的 GUI 如需有關安裝於終 端機伺服器上之 ESET File Security 的詳細資訊 請參閱停用終端機伺服器的 GUI 主題 如果您要停用 ESET File Security 開機歡迎畫面 請取消選取 [啟動時顯示開機歡迎畫面] 若要 ESET File Security 在掃描期間發生重大事件 (例如當發現威脅或掃描結束) 時播放音效 請選取 [使用聲 音信號提示] 157

158 整合至內容功能表 - 將 ESET File Security 控制項元素整合至內容功能表 [應用程式狀態] - 按一下 [編輯] 以管理 (啟用或停用) 在主要功能表 [監控] 索引標籤中顯示的狀態 此名 您 可以使用 ESET Remote Administrator 原則以配置您的應用程式狀態 [授權資訊] - 啟用時會顯示關於授權的訊息和通知 警告及通知 - 配置 [警告及通知] 就可以變更已偵測到的威脅警告及系統通知的行為 這些全都可以自訂 以 符合您的需求 如果您選擇不顯示某些通知 則這些通知就會顯示於停用訊息和狀態區域中 您可以在此檢 查其狀態 顯示更多詳情 或是從這個視窗中加以移除 存取設定 - 您可以使用 [存取設定] 工具確保安全性維持高設定 藉以防止任何未經授權的變更 說明 - 使用本機安裝的離線說明作為說明內容主要來源 ESET Shell - 您可以變更 ESET Shell 執行原則以配置透過 eshell 存取產品設定 功能與資料的存取權 內容功能表 - 以滑鼠右鍵按一下項目以顯示 ESET File Security 內容功能表整合 使用此工具以將 ESET File Security 控制項元素整合至內容功能表 簡報模式可協助使用者不會受到快顯視窗 已排程工作及其他可能增加系統資源負擔的任何程序而中斷作 業 系統匣圖示 還原此區段中的所有設定 / 還原為預設值 158

159 8.6.1 警 告 及 通 知 [使用者介面] 下的 [警告及通知] 區段可讓您配置 ESET File Security 如何處理威脅警告與系統通知 (例如 成功 更新訊息) 您也可以設定顯示時間及系統匣通知的透明度 (這僅適用於支援系統匣通知的系統) 警告視窗 停用 [顯示警示] 會取消所有警告視窗 且僅適用於有限的指定情況中 對於大部分使用者而言 我們建議保留 此選項的預設值 (啟用) 桌面通知 桌面及球形提示上的通知僅提供資訊 不需要使用者介入 它們會顯示在畫面右下角的通知區域中 若要啟動 桌面通知 請選取 [於桌面顯示通知] 可在以下修改更多詳細選項 如通知顯示時間及視窗透明度 開啟 [以全螢幕模式執行應用程式時不顯示通知] 以強制不顯示所有非互動通知 [最簡化要顯示的事件] 下拉式功能表中 允許您可以選取要顯示的警示及通知嚴重性層級 可用選項如下 診斷 - 要微調程式和上述的所有記錄所需的防護記錄資訊 資訊 - 記錄資訊性訊息 包含成功更新訊息及上述所有記錄 警告 - 記錄嚴重錯誤及警告訊息 錯誤 - 記錄諸如 下載檔案時發生錯誤 等類型的錯誤及嚴重錯誤 嚴重 - 僅記錄嚴重錯誤 (啟動病毒防護等) 此區段的最後一個功能可讓您配置多個使用者環境的通知目的地 [在多個使用者的系統中 在此使用者的 畫面中顯示通知] 欄位可針對允許多位使用者同時連接的系統 指定要接收系統通知與其他通知的使用者 通 常為系統或網路的管理員 如果將所有系統通知都傳送給管理員 則此選項特別適用於終端機伺服器 提示訊息 159

160 若要在某段時間內自動關閉快顯視窗 請選取 [自動關閉訊息方塊] 如果不手動關閉這些視窗 則經過指定時 間後將自動關閉警告視窗 存 取 設 定 為了提供系統最大的安全性 需要正確配置 ESET File Security 任何不合格的變更都會導致重要資料遺失 為了 避免未獲授權的修改 您可以使用密碼保護 ESET File Security 的設定參數 密碼防護的配置設定位於 [進階設 定] 樹狀目錄 (F5) 中 [使用者介面] 下的 [存取設定] 子功能表中 密碼保護設定 - 鎖定/ 解除鎖定程式的設定參數 按一下以開啟 [密碼設定] 視窗 若要設定或變更密碼以保護設定參數 請按一下 [設定密碼] [受限管理員帳戶需要完整的管理員權限] - 選取此選項以在修改特定系統參數時 提示現有使用者 (如果沒有 管理員權限的話) 輸入管理員使用者名稱及密碼 (與 Windows Vista 中的 UAC 相似) 這些修改包括停用防護模 組 附註 如果進階設定密碼已變更 而您想使用 ESET CMD 命令列匯入現有的 xml 配置檔案 (已在密碼變更前簽署) 請 確保使用目前的密碼再次簽署 這可讓您使用較舊的配置檔案 而不需要在匯入前先匯出配置檔案到另一台 執行 ESET File Security 的電腦 160

161 密 碼 為了避免未獲授權的修改 您可以使用密碼保護 ESET File Security 的設定參數 密 碼 設 定 若要保護 ESET File Security 的設定參數以避免未獲授權的修改 您需要設定新的密碼 當您想要變更現有的密 碼時 請在 [舊密碼] 欄位中輸入您的舊密碼 並在 [新密碼] 和 [確認密碼] 欄位中輸入您的新密碼 然後按一 下 [確定] 日後對 ESET File Security 進行任何修改 都將會需要這個密碼 說明 當您按下 [F1] 鍵或按一下 [?] 按鈕時 將會開啟線上說明視窗 這是說明內容的主要來源 不過本程式另外還安 裝說明的離線副本 舉例來說 當網際網路連線中斷時將會開啟離線說明 當您有可用的網際網路連線時 系統會自動顯示最新版的線上說明 E S E T S he ll 您可以變更 [ESET Shell 執行原則] 以配置透過 eshell 存取產品設定 功能與資料的存取權 預設設定為 [限制的 腳本] 但您可以視需要將其變更為 [已停用] [唯讀] 或 [完整存取權限] 已停用 - 完全無法使用 eshell 只允許 eshell 本身的配置 -在ui 無法存取產品設定或資料 eshell 內容中 您可以自訂 eshell 的外觀 但 唯讀 - eshell 可作為監控工具 您可以在互動與批次模式中檢視所有的設定 但您無法修改任何設定 功能或 修改任何資料 限制的腳本 - 在互動模式中 您可以檢視與修改所有的設定 功能與資料 在批次模式中 eshell 的運作方式 會與您處於唯讀模式時相同 但如果您使用已簽署的批次檔案 則可以編輯設定和修改資料 完整存取權限 - 在互動與批次模式中無限制地存取所有設定 (在執行批次檔案時) 您可以檢視與修改任何設 定 您必須使用管理員帳戶才能以完整存取權限執行 eshell 如果已啟用 UAC 也需要提高權限 停 用 終 端 機 伺 服 器 的 GU I 本章說明如何針對使用者工作階段期間在 Windows 終端機伺服器上執行的 ESET File Security 停用其 GUI 一般而言 遠端使用者登入伺服器並建立終端機工作階段時 ESET File Security GUI 都會啟動 這對於終端機伺 服器通常是不必要的 如果您想要關閉終端機工作階段的 GUI 則可以執行下列命令 透過 eshell 達成此目的 setui ui gui-start-mode terminal 這會讓 GUI 處於終端機模式 下列為兩個可用的 GUI 啟動模式 set ui ui gui-start-mode full set ui ui gui-start-mode terminal 如果您想要瞭解目前使用的是哪個模式 請執行 get ui ui gui-start-mode 命令 注意 如果您已在 Citrix 伺服器上安裝 ESET File Security 我們建議您使用知識庫文章中所述的設定 已 停 用 訊 息 和 狀 態 確認訊息 - 向您顯示確認訊息的清單 並可讓您選取是否要顯示 應用程式狀態 - 允許您在主要功能表的 [監視] 索引標籤中啟用或停用顯示狀態 161

162 確 認 訊 息 此對話方塊視窗會顯示確認訊息 即 ESET File Security 會在執行任何動作之前顯示 選取或取消選取每個確認 訊息旁的核取方塊以啟用或停用 應 用 程 式 狀 態 設 定 在這個對話方塊中 可讓您選取或取消選取顯示或不顯示應用程式狀態 例如 當您暫停病毒及間諜程式防護 時 這將會造成防護狀態變更 並顯示在監視頁面中 若您的產品未啟用或授權已過期 系統也會顯示應用程式 狀態 應用程式狀態可以透過 ESET Remote Administrator 原則來管理 類別和狀態會顯示在擁有兩個選項 [顯示] 和 [傳送] 狀態的清單 傳送應用程式狀態的欄位僅會在 ESET Remote Administrator 原則配置中顯示 ESET File Security 會顯示鎖定圖示的設定 您可以使用覆寫模式以暫時變更應用程式狀態 162

163 8.6.7 系 統 匣 圖 示 以滑鼠右鍵按一下系統匣圖示 可以使用某些最重要的設定選項及功能 暫停防護 - 顯示停用病毒及間諜程式防護的確認對話方塊 此功能藉由控制檔案 Web 和電子郵件通訊防止攻 擊 [時間間隔] 下拉式功能表顯示病毒及間諜程式防護停用的期間 進階設定 - 選取此選項以進入 [進階設定] 您也可以按 F5 鍵或瀏覽至 [設定] > [進階設定] 以存取 [進階設 定] 防護記錄檔案 - 防護記錄檔案包含所有已發生之重要程式事件的相關資訊 並提供偵測到之威脅的概觀 隱藏 ESET File Security - 隱藏螢幕上的 ESET File Security 視窗 重設視窗配置 - 將 ESET File Security 的視窗重設為螢幕上的預設大小及位置 病毒資料庫更新 - 啟動更新病毒資料庫作業以確保您對抗惡意程式碼的防護層級 關於 - 提供系統資訊 ESET File Security 已安裝版本的詳情 以及已安裝的程式模組和您的授權到期日期 您可 以在頁面底部找到作業系統和系統資源的相關資訊 163

164 暫 停 防 護 每當您暫停 病毒及間諜程式防護 時 就會出現系統匣圖示 和 [暫停防護] 對話方塊 這將會在選取的時段 內停用惡意軟體相關防護 (若要永久停用防護 您必須使用 [進階設定]) 請小心 停用防護會將您的系統暴露 於威脅中 內容 功 能 表 以滑鼠右鍵按一下物件 (檔案) 之後 會顯示內容功能表 功能表會列出您可以對物件執行的所有動作 可以將 ESET File Security 控制項元素整合至內容功能表 在 [使用者介面] > [使用者介面元素] 下的 [進階設定] 樹狀目錄中 可以使用此功能的設定選項 整合至內容功能表 - 將 ESET File Security 控制項元素整合至內容功能表 8.7 還原此區段中的所有設定 將模組設定還原為 ESET 所定義的預設值 請注意 所有完成的任何變更都會在您按一下 [還原為預設] 之後遺 失 還原資料表內容 - 啟用之後 手動或自動新增的規則 工作或設定檔都將遺失 164

165 8.8 還原為預設值 所有模組的所有程式設定都會重設為在新安裝之後將具有的狀態 8.9 排程器 [排程器] 可用來排程下列工作 病毒資料庫更新 掃描工作 系統啟動檔案檢查及防護記錄維護 您可以直接在 主 [排程器] 視窗中新增或刪除工作 (按一下底端的 [新增工作] 或 [刪除]) 在 [排程器] 視窗中的任何位置按一下 滑鼠右鍵 以執行下列處理方法 顯示詳細資訊 立即執行工作 新增工作及刪除現有工作 使用每個項目前端 的核取方塊來啟動/ 停用工作 依預設 下列排定工作會顯示在 [排程器] 中 防護記錄維護 定期自動更新 撥號連線後自動更新 使用者登入後自動更新 自動啟動檔案檢查 (使用者登入後) 自動啟動檔案檢查 (成功更新病毒資料庫後) 自動先掃描 若要編輯 (預設及使用者定義的) 現有排定工作的配置 請在工作上按一下滑鼠右鍵並按一下 [編輯... ] 或選取 要修改的工作 再按一下 [編輯] 按鈕 新增工作 1. 按一下視窗底部的 [新增工作] 2. 輸入工作的名稱 3. 選取需要的工作類型 4. 若您要啟用工作 則請開啟 [已啟用] 選項 (您可以稍後在已排程工作清單中選取/ 取消選取核取方塊以完成 開啟) 5. 按一下 [下一步] 並選取其中一個計時選項 並指定應該再次執行的時間 6. 當您在排程器視圖中的工作上按兩下 或以滑鼠右鍵按一下已排程的工作並選擇 [顯示工作詳細資料] 時檢 閱排定的工作 165

166 8.9.1 工 作 細 節 輸入工作名稱並從下拉式功能表選取您想要的工作類型 執行外部應用程式 - 排程以執行外部應用程式 防護記錄維護 - 防護記錄檔案還包括已刪除記錄的剩餘部分 此工作會定期將防護記錄檔案中的記錄最佳 化 以確保有效運作 系統啟動檔案檢查 - 檢查系統啟動或登入時允許執行的檔案 建立電腦狀態快照 - 建立ESET SysInspector 電腦快照 -收集關於系統元件 (例如驅動程式 應用程式) 的詳細 資訊 並評估各個元件的風險層級 指定電腦掃描 - 針對電腦中的檔案及資料夾執行掃描 初次掃描 - 依預設 在安裝後 20 分鐘或電腦重新開機時 將以低優先順序工作級別執行電腦掃描 更新 - 更新病毒資料庫與程式模組來排程更新工作 Hyper-V 掃描 - 為 Hyper-V 內的虛擬磁碟排程掃描 工作建立後 如果您要停用該工作 請按一下已啟用旁的切換鈕 之後您可以使用排程器視圖中的核取方塊啟 動工作 按一下 [下一步] 以繼續下一步 工 作 時 間 -一 次 指定工作執行一次的日期與時間 工 作 時 間 當您要 [執行已排程的工作] 時 選取下列其中一個時間選項以定義 一次 - 工作將只會在指定的日期和時間執行一次 重複 - 工作將在指定的時間間隔 (分鐘) 內執行 每日 - 工作會在每天指定的時間重複執行 每星期 - 工作每星期在選取的日期及時間執行一或多次 事件觸發 - 工作會在指定的事件之後執行 如果您啟用使用電池執行時略過工作 在工作應啟動時 如果系統使用電池執行 則不會啟動工作 例如 適用 於以 UPS 執行的電腦 按一下 [下一步] 以繼續下一步 工 作 時 間 -每 日 指定工作每日執行的時間 工 作 時 間 -每 星 期 工作將在選取的日期和時間執行 工 作 時 間 -事 件 觸 發 下列任一事件都會觸發工作 每次電腦啟動時 每天第一次啟動電腦時 撥號連線至網際網路/ VPN 病毒資料庫更新成功 已成功更新程式組件 使用者登入 威脅偵測 在排程由事件觸發的工作時 您可以指定距離兩項工作完成之間的最少間隔 例如 如果您一天登入電腦多次 則可以選擇只在當天第一次登入後的 24 小時內執行工作 接著是隔天第一次登入後的 24 小時內 166

167 8.9.7 工 作 細 節 -執 行 應 用 程 式 此工作會排程外部應用程式的執行 [執行檔] - 從目錄樹狀結構選擇可執行檔 按一下瀏覽 (...) 或手動輸入路徑 工作資料夾 - 定義外部應用程式的工作目錄 將在此目錄中建立選取的 [執行檔] 暫存檔案 參數 - 應用程式的命令列參數 (選用) 如果您已修改現有的已排程工作 請按一下 [完成] 以建立工作或套用變更 略 過 的 工 作 如果工作無法在預先定義的時間執行 您可以指定工作的執行時間 於下次排程的時間 - 此工作將於指定時間執行 (例如在 24 小時後) 儘快 - 當阻止工作執行的動作不再有效時 工作將會儘快執行 如果距離上次執行的時間超過指定值 則立即執行工作 - 自上次執行後經過的時間 (小時) - 選取此選項 後 您的工作將會在特定時間 (小時) 後重覆執行 已 排 程 的 工 作 概 要 當您在排程器視圖中的工作上按兩下 或以滑鼠右鍵按一下已排程的工作並選擇 [顯示工作詳細資料] 時 此 對話方塊視窗會顯示關於已排程工作的詳細資訊 167

168 更 新 設 定 檔 如果您想要從兩個更新伺服器更新程式 則需要建立兩個不同的更新設定檔 如果第一個設定檔無法下載更新 檔案 則程式會自動切換至替代設定檔 舉例說明 此設定適用於筆記型電腦 因為擁有人通常會從本機區域網 路更新伺服器進行更新 但使用其他網路卻經常連接至網際網路 所以 如果第一個設定檔失敗 則第二個會自 動從 ESET 的更新伺服器下載更新檔案 您可以在更新一章中找到更新設定檔的詳細資訊 8.10 隔離區 隔離檔案 從隔離區還原 從隔離區提交檔案 隔 離 檔 案 ESET File Security 會自動隔離刪除的檔案 (如果您尚未在警告視窗中停用此選項) 如果需要 您可以按一下 [隔 離] 手動隔離任何可疑檔案 如果是這種情況的 不會從原始位置移除原始檔案 內容功能表也可用於此目的 以滑鼠右鍵按一下 [隔離區] 視窗 並選取 [隔離] 從 隔 離 區 還 原 隔離的檔案還可還原至其原始位置 若要還原隔離的檔案 在 [隔離區] 視窗中以滑鼠右鍵按一下檔案 並從內 容功能表選取 [還原] 如果檔案標記潛在不需要的應用程式 也可以使用 [還原並從掃描中排除] 內容功能表 還包含 [還原到... ] 選項 可讓您將檔案還原到其原始刪除位置外的其他位置 從隔離區中刪除 - 以滑鼠右鍵按一下指定項目 並選取 [從隔離區中刪除] 或選取您要刪除的項目 並按下鍵 盤上的 [刪除] 您也可以選取多個項目 將其一起刪除 附註 如果程式錯誤地隔離了無惡意檔案 請在還原後從掃描中排除檔案 並將該檔案傳送至 ESET 客戶服務 168