ESET Endpoint Antivirus

Size: px

Start display at page:

Download "ESET Endpoint Antivirus"

诫危
5 years ago
Views:

1 ESET ENDPOINT ANTIVIRUS 6 使用者手冊 Microsoft Windows 10/8.1/8/7/Vista/XP x86 SP3/XP x64 SP2 按一下這裡以下載此文件的最新版本

2 ESET ENDPOINT ANTIVIRUS 6 Copyright 2016 by ESET, spol. s r. o. ESET Endpoi nt Anti vi rus 是由 ESET, s pol. s r. o. 開發的產品如需相關資料請造訪 et.com 保留所有權利本文件的任何部分在未獲得作者的書面同意下不得以任何形式或利用任何方式進行重製儲存在可擷取的系統或進行傳輸包括電子機械影印錄音或掃描等方式 ESET, s pol. s r. o. 保留變更所述應用程式軟體的權利恕不另行通知全球客戶支援 et.com/s upport 修訂 7/19/2016

3 內容掃描進度 E S E T...5 E ndpoint A ntivirus 新增功能系統需求預防 2. 透過 E S E T R emote A dministrator...7 連接的使用者相關文件裝置控制裝置控制規則編輯器新增裝置控制規則可移除的媒體閒置狀態掃描主機入侵預防系統...41 (HIPS) 進階設定 E S E T R emote A dministrator S erver HIPS 互動視窗 Web C onsole 簡報模式 Proxy 代理程式啟動掃描 R D S ensor 3. 本身使用...10 E S E T E ndpoint A ntivirus 使用 E S E T A V R emover 安裝 ESET...11 AV Remover 使用...14 ESET AV Remover 解除安裝結束時發生錯誤安裝進階安裝透過 E R A 的產品安裝 ( 命令列 ) 產品啟動啟動檔案自動檢查文件防護排除引擎參數設定 ThreatSense 排除 Web 和電子郵件通訊協定過濾 Web 和電子郵件用戶端排除的應用程式位址排除的 IP SSL /TL S...52 通訊加密的 SSL 電腦掃描升級至最新版本已知的憑證清單初學者手冊電子郵件用戶端使用者介面電子郵件通訊協定更新設定警告及通知常見問題電子郵件用戶端防護...54 存取防護 Web 如何更新...25 ESET Endpoint Antivirus Web 通訊協定如何啟動...25 ESET Endpoint Antivirus URL 位址管理如何使用目前的憑證啟動新產品如何從我的...25 PC 移除病毒更新程式如何在排程器中建立新的工作更新設定如何排程掃描工作...26 (每隔 24 小時) 更新設定檔如何連接 ESET Endpoint Antivirus 至 ESET Remote Administrator 更新還原如何配置映像如何利用...27 ESET Endpoint Antivirus 升級至 Windows 使用 E S E T E ndpoint A ntivirus 網路釣魚防護更新模式 HTTP proxy 以下列身分連接到區域網路映像電腦從映像更新病毒防護疑難排解映像更新問題偵測到入侵共用本機快取即時檔案系統防護其他 ThreatSense 參數清除層級檢查即時防護何時修改即時防護配置即時防護無法運作時怎麼辦指定電腦掃描自訂掃描啟動器如何建立更新工作工具防護記錄檔案搜尋防護記錄伺服器設定 Proxy 排程器防護統計即時監控 ESET...75 SysInspector ESET...75 L ive Grid

4 執行中的處理程序提交樣本以供分析電子郵件通知隔離區 Microsoft...80 Windows 更新使用者介面使用者介面元素存取設定警告及通知系統匣圖示內容功能表進階使用者設定檔管理程式診斷匯入及匯出設定命令列閒置狀態偵測 ESET...88 SysInspector ESET...88 SysInspector 簡介...89 SysInspector 啟動 ESET 使用者介面和應用程式使用程式控制項中瀏覽在 ESET SysInspector 鍵盤快捷鍵比較命令列參數服務腳本產生服務腳本服務腳本的結構執行服務腳本常見問題 ESET...98 SysInspector 是 ESET Endpoint Antivirus 的一部份字彙威脅類型病毒蠕蟲特洛伊木馬程式 Rootkit 廣告程式間諜程式壓縮器潛在不安全的應用程式潛在不需要應用程式電子郵件廣告惡作劇網路釣魚識別垃圾郵件詐騙技術 ESET 惡意探索封鎖程式進階記憶體掃描器 ESET L ive Grid 惡意探索封鎖程式 Java...104

5 1. E S E T E ndpoint A ntivirus ESET Endpoint Antivirus 6 代表確實整合電腦安全性的新方法最新版的 ThreatSense 掃描引擎增進了速度及精確度藉以維護您電腦的安全其成品就是能夠持續監控危害您電腦的攻擊及惡意軟體的智慧型系統 ESET Endpoint Antivirus 6 是完整的安全性解決方案可視為我們長期以來結合最大防護與最低系統使用量的成果這種奠基於人工智慧的進階技術能夠主動消除病毒間諜軟體特洛伊木馬蠕蟲廣告軟體 rootkit 及其他網際網路型攻擊的入侵而且不會妨礙系統效能或中斷電腦運作 ESET Endpoint Antivirus 6主要設計用於小型企業環境的工作站上這可用於 ESET Remote Administrator 連線讓您輕鬆管理任意數目的用戶端工作站套用原則與規則監視偵測並從任何網路電腦遠端配置 1.1 新增功能 ESET Endpoint Antivirus 的圖形使用者介面已全部重新設計可視度更高而且使用起來更直覺化 ESET Endpoint Antivirus 版本 6 中所包括眾多改進功能中包括下列一些功能功能性和使用性的改進裝置控制 - 現在包含可判定裝置類型和序號並可為多個裝置定義單一規則的新功能全新的 HIPS 智慧型模式 -放置於自動與互動模式之間能夠在系統中發現可疑活動與惡意處理程序更新程式/ 映像的改進 -您現在可以繼續病毒資料庫及/ 或產品模組的失敗下載可供您電腦使用 ESET Remote Administrator 的全新遠端管理方法 -您可在重新安裝 ERA 或進行測試遠端安裝 ESET 安全解決方案取得網路環境的安全狀態概述以及排序各種資料以供日後使用時重新傳送防護記錄使用者介面改進 -新增可從 Windows 系統匣執行手動更新病毒資料庫和模組的單擊選項支援觸控式螢幕及高解析度顯示第三方安全性應用程式的偵測和移除等功能改進新功能網路釣魚防護 -可透過限制存取假冒合法網站的惡意網站保護您不會遭到竊取密碼和其他敏感資料掃描速度的改進 -使用虛擬環境中的共用本機快取偵測及防護技術改進的安裝速度與可靠性進階記憶體掃描器 -可監控程序行為並在記憶體將其解除隱匿時掃描惡意處理程序強化的惡意探索封鎖程式 -此功能經悉心設計能強化常遭利用之應用程式類型的防護例如 Web 瀏覽器 PDF 閱讀器郵件用戶端和 MS Office 元件惡意探索封鎖程式如今已能支援 Java 協助改善偵測並防範上述弱點 Rootkit 偵測及移除功能改進閒置狀態掃描器 -可在電腦進入閒置狀態時對所有本機磁碟執行無訊息掃描 1.2 系統需求若要使 ESET Endpoint Antivirus順暢地運作系統應滿足下列硬體和軟體需求 (預設產品設定) 支援的處理器 32-bit (x86) 或 64-bit (x64) 處理器 1 GHz 或更高 (請參閱附註 1) 作業系統 Microsoft Windows 10/8.1/8/7/Vista/XP SP3 32 位元/ XP SP2 64 位元已安裝所選擇 ESET 產品版本支援的作業系統和需求的服務套件已滿足在電腦上安裝作業系統和其他軟體的系統需求 0.3 GB 的可用系統記憶體 (請參閱附註 2) 1 GB 的可用硬碟空間 (請參閱附註 3) 最低顯示解析度 1024x768 網際網路或區域網路連線至產品更新的來源 (請參閱附註 4) 雖然可能在未符合這些要求的系統上安裝並執行產品我們仍建議依據效能需求另行作使用性測試 5

6 附註 (1) 在 Windows XP 作業系統下對於要求的最低處理器速度可能更低 (2) 如果在嚴重受感染的電腦上便用不到記憶體或是當資料大量清單已匯入到產品之中 (例如 URL 的白名單) 產品可能會使用更多記憶體 (3) 需要硬碟空間來下載安裝程式安裝產品並在程式資料中保留安裝套件的副本同時也保留產品更新的備份以支援還原功能在不同的設定下或是在受感染的電腦上 (例如由於隔離功能) 產品可能會使用更多硬碟空間 (例如當儲存更多產品更新的備份版本保留記憶體傾印或大量的防護記錄) 我們建議保留足夠的硬碟空間來支援作業系統的更新和對 ESET 產品的更新 (4): 雖然不建議這麼做產品仍可自可移除媒體上進行手動更新 1.3 預防當您使用電腦時尤其是在瀏覽網際網路時請記得世界上沒有任何防毒系統可以完全消除入侵與攻擊.為達到最大的保護性及方便性正確地使用防毒解決方案並遵守數項有用的規則是很重要的定期更新根據 ESET Live Grid 的統計資料顯示每天都有好幾千種新奇的入侵活動被創造出來目的為通過現有的安全措施為其作者帶來利益而且全由其他使用者買帳 ESET 病毒實驗室的專家每天都會分析那些威脅準備並發佈更新以不斷提高對我們使用者的防護層級為確保這些更新能發揮最大效益您系統上的更新必須正確配置如需有關如何設定更新的資訊請參閱更新設定一章下載安全修補程式惡意軟體的作者通常會利用各種系統弱點來增加散播惡意程式碼的效力軟體公司瞭解這一點因此密切注意其應用程式是否出現任何弱點並定期發佈安全更新以排除潛在的威脅當這些安全更新發佈時請務必下載 Microsoft Windows 與 Internet Explorer 等 Web 瀏覽器就是會有安全更新定期發佈的兩個範例程式備份重要資料惡意程式的作者通常不在乎使用者的需求且惡意程式的活動常會導致作業系統整體故障並遺失重要資料請定期將重要及敏感資料備份至外部來源例如 DVD 或外接硬碟機這是很重要的當系統發生故障時這可讓您更容易且更快復原資料定期掃描電腦中的病毒即時檔案系統防護模組會偵測更多已知與未知的病毒蠕蟲特洛伊木馬程式及 Rootkit 這表示每次您存取或開啟檔案時便會掃描檔案中是否有惡意軟體活動建議您每個月至少執行一次電腦完整掃描因為惡意軟體簽章會不斷改變病毒資料庫也會每天自行更新遵循基本安全規則這是最有用且最有效的規則 -務必要小心謹慎現在有很多入侵活動都需要使用者介入才能執行及散佈如果您在開啟新檔案時能夠小心謹慎就不需耗費龐大的時間和精力來清除入侵活動以下是一些實用的方針不要造訪具有多重快顯視窗及閃動廣告的可疑網站安裝免費程式轉碼器封裝等時要很小心僅使用安全的程式僅造訪安全的網際網路網站開啟電子郵件附件時要很謹慎尤其是大量傳送的郵件以及來自不明寄件者的郵件不要使用系統管理員帳戶來處理電腦的日常工作 6

2. 透過 E S E T R emote A dministrator 連接的使用者相關文件 ESET Remote Administrator (ERA) 是一個應用程式允許您從一個中央位置的網路環境管理 ESET 產品 ESET Remote Administrator 工作管理系統允許您在遠端電腦安裝 ESET 安全性解決方案並對新問題和威脅快速作出回應 ESET Remote

7 2. 透過 E S E T R emote A dministrator 連接的使用者相關文件 ESET Remote Administrator (ERA) 是一個應用程式允許您從一個中央位置的網路環境管理 ESET 產品 ESET Remote Administrator 工作管理系統允許您在遠端電腦安裝 ESET 安全性解決方案並對新問題和威脅快速作出回應 ESET Remote Administrator 本身不提供保護以防範惡意程式碼該功能由每個用戶端上安裝的 ESET 安全性解決方案所提供 ESET 安全性解決方案支援包含多種平台類型的網路您的網路可以包含目前在行動裝置 (手機與平板電腦) 上執行 Microsoft Linux 和 Mac OS 作業系統的組合以下圖片描述受到 ESET 安全性解決方案保護並由 ERA 管理的網路架構範例附註如需相關資訊請參閱 ESET Remote Administrator 使用者手冊 2.1 E S E T R emote A dministrator S erver E S E T Remot e A dminis t rat or S erv er 是 ESET Remote Administrator 的主要元件這是一種執行應用程式可處理從連線至伺服器 (透過 ERA 代理程式) 的用戶端接收的所有資料 ERA 代理程式能提升用戶端和伺服器間的通訊資料 (用戶端防護記錄設定代理程式複製等) 儲存於資料庫為了正確地處理資料 ERA 伺服器需要穩定地連線至資料庫伺服器我們建議您在個別的伺服器安裝 ERA 伺服器和您的資料庫以最佳化效能在安裝 ERA 伺服器的電腦上必需配置接受使用憑證進行驗證的所有 Agent/Proxy/RD Sensor 連線安裝後您可以開啟連線至 ERA 伺服器的 ERA Web Console (如圖表所示) 透過 Web Console 在您網路中管理 ESET 安全性解決方案時會執行所有 ERA 伺服器作業 7

2.2 Web C onsole E RA Web Cons ole 是從 ERA 伺服器顯示資料的 Web 使用者介面能讓您管理網路中的 ESET 安全性解決方案您可以使用瀏覽器存取 Web Console 它會顯示您網路上用戶端狀態的概觀並可以從遠端將 ESET 解決方案部署至未受管理的電腦您可以選擇使 Web 伺服器可從網際網路存取允許從任何位置或裝置使用 ESET

8 2.2 Web C onsole E RA Web Cons ole 是從 ERA 伺服器顯示資料的 Web 使用者介面能讓您管理網路中的 ESET 安全性解決方案您可以使用瀏覽器存取 Web Console 它會顯示您網路上用戶端狀態的概觀並可以從遠端將 ESET 解決方案部署至未受管理的電腦您可以選擇使 Web 伺服器可從網際網路存取允許從任何位置或裝置使用 ESET Remote Administrator 此為 Web Console 的儀表板 [ 快速搜尋] 工具位於 Web Console 頂端從下拉式功能表選取 [ 電腦名稱]? IP v 4/IP v 6 位址或 [ 威脅名稱] 並在文字欄位中輸入您的搜尋字串然後按一下放大鏡符號或按 E nt er 以進行搜尋系統會將您重新導向至顯示搜尋結果的 [ 群組] 區段附註如需相關資訊請參閱 ESET Remote Administrator 使用者手冊 2.3 Proxy E RA P rox y 是 ESET Remote Administrator 的另一個元件具備兩種功能擁有許多用戶端 (例如 10,000 個用戶端或更多) 的中型或企業網路可以使用 ERA Proxy 在多個 ERA Proxy 之間散佈負載協助主要 ERA 伺服器連線至連結較弱的遠端分公司時也能使用 ERA Proxy 而這正是 ERA Proxy 的另一項優勢這表示每一個用戶端的 ERA 代理程式未透過 ERA Proxy (在與分公司相同的區域網路上) 直接連線至主要 ERA 伺服器此配置會釋放連線至分公司的連結 ERA Proxy 接受來自所有本機 ERA 代理程式的連線編譯其資料並將資料上傳至主要 ERA 伺服器 (或其他 ERA Proxy) 這允許您的網路容納更多用戶端而不影響網路與資料庫查詢的效能視您的網路設定而定也可以將 ERA Proxy 連接至另一個 ERA Proxy 然後再連接至主要 ERA 伺服器為使 ERA Proxy 正常運作安裝 ERA Proxy 的主機電腦也必須安裝 ESET 代理程式且連接至網路中的較高層級 (如果有的話可以是 ERA 伺服器或上層的 ERA Proxy) 8

9 2.4 代理程式 [ E RA 代理程式] 是 ESET Remote Administrator 產品很重要的一部分用戶端電腦上的 ESET 安全性解決方案 (例如 ESET Endpoint Security) 透過代理程式和 ERA 伺服器通訊此通訊允許您從一個中央位置管理所有在遠端用戶端上的 ESET 安全性解決方案代理程式從用戶端收集資訊並將資訊傳送至伺服器伺服器為用戶端傳送工作時工作會傳送至代理程式然後代理程式再與用戶端通訊所有網路通訊均發生於代理程式和 ERA 網路的上半部之間 -伺服器和 Proxy ESET 代理程式使用以下三種方法的其中一種以連接至伺服器 1. 用戶端代理程式直接連接至伺服器 2. 用戶端代理程式透過連線至伺服器的 Proxy 連線 3. 用戶端代理程式透過多個 Proxy 連接至伺服器 ESET 代理程式與安裝於用戶端的 ESET 解決方案通訊從該用戶端的程式收集資訊並傳遞從伺服器接收的設定資訊至用戶端附註 ESET Proxy 擁有自己的代理程式可處理所有與用戶端其他 Proxy 和伺服器之間的通訊工作 2.5 R D S ensor RD (Rogue Det ec t ion) S ens or 是 ESET Remote Administrator 的一部分設計來尋找您網路上的電腦其提供將新電腦新增至 ESET Remote Administrator 而無需尋找且可以手動新增的一個便利方法在您網路上找到的每台電腦都會顯示在 Web Console 中並會新增至預設的 [ 所有] 群組您可以使用個別用戶端電腦從此處採取進一步的處理方法 RD Sensor 是一種被動監聽器可偵測網路上的電腦並將其相關資訊傳送至 ERA 伺服器 ERA 伺服器會評估網路上所找到的 PC 是否屬於未知的 PC 還是屬於已經受管理的 PC 9

3. 本身使用 E S E T E ndpoint A ntivirus 本使用者手冊的本節適用於使用 ESET Endpoint Antivirus 但不使用 ESET Remote Administrator 的使用者 ESET Endpoint Antivirus 的所有功能都可完整存取視使用者帳戶的權限而定 3.

10 3. 本身使用 E S E T E ndpoint A ntivirus 本使用者手冊的本節適用於使用 ESET Endpoint Antivirus 但不使用 ESET Remote Administrator 的使用者 ESET Endpoint Antivirus 的所有功能都可完整存取視使用者帳戶的權限而定 3.1 使用 E S E T A V R emover 安裝在您繼續安裝程序前請務必解除安裝電腦上任何現有的安全性應用程式請選取 [ 我要使用 E S E T A V Remov er 解除安裝不需要的防毒應用程式] 旁邊的核取方塊讓 ESET AV Remover 掃描您的系統並移除任何支援的安全性應用程式保持核取方塊未選取並按一下 [ 繼續] 以安裝 ESET Endpoint Antivirus 而不執行 ESET AV Remover 10

移除現有防毒程式 1. 若要檢視 ESET AV Remover 可移除的防毒軟體清單請造訪 ESET 資料庫文章 2.

11 3.1.1 E SE T A V R emover ESET AV Remover 工具會協助您移除幾乎所有先前安裝在您系統上的防毒軟體請遵循下列指示以使用 ESET AV Remover 移除現有防毒程式 1. 若要檢視 ESET AV Remover 可移除的防毒軟體清單請造訪 ESET 資料庫文章 2. 請閱讀並按一下 [ 接受] 以認知您已接受使用者授權合約按一下 [ 拒絕] 將繼續安裝 ESET Endpoint Antivirus 而不移除電腦上現有的安全性應用程式 11

12 3. ESET AV Remover 將開始搜尋您系統中的防毒軟體 4. 選取任何列出的防毒應用程式並按一下 [ 移除] 移除可能需要一段時間 12

13 5. 移除成功後請按一下 [ 繼續] 6. 請重新啟動您的電腦以套用變更並繼續安裝 ESET Endpoint Antivirus 如果解除安裝不成功請參閱這份指南中的使用 ESET AV Remover 解除安裝結束時發生錯誤一節 13

3.1.2 使用 E SE T A V R emover 解除安裝結束時發生錯誤若您無法使用 ESET AV Remover 移除防毒程式您將收到通知顯示 ESET AV Remover 可能不支援您嘗試移除的應用程式請造訪 ESET 知識庫上的支援的產品清單或一般 Windows

log 檔案以協助 ESET 技術人員 A ppremov er. log 檔案位於 es et 資料夾瀏覽至 Windows 檔案總管中的 % TE M P % 以存取此資料夾 ESET 客戶服務將盡快回覆以協助解決您的問題 3.

14 3.1.2 使用 E SE T A V R emover 解除安裝結束時發生錯誤若您無法使用 ESET AV Remover 移除防毒程式您將收到通知顯示 ESET AV Remover 可能不支援您嘗試移除的應用程式請造訪 ESET 知識庫上的支援的產品清單或一般 Windows 防毒軟體的解除安裝程式了解此特定程式是否可移除若解除安裝安全性產品不成功或某些元件僅部分解除安裝系統將提示您重新啟動並重新掃描請在啟動後確認 UAC 並繼續掃描及解除安裝程序必要時請連絡 ESET 客戶服務以開啟支援要求並提供 A ppremov er. log 檔案以協助 ESET 技術人員 A ppremov er. log 檔案位於 es et 資料夾瀏覽至 Windows 檔案總管中的 % TE M P % 以存取此資料夾 ESET 客戶服務將盡快回覆以協助解決您的問題 3.2 安裝一旦啟動安裝程式安裝精靈將引導您進行安裝程序重要請確定電腦上未安裝任何其他防毒程式如果在單一電腦上安裝兩個或兩個以上的防毒解決方案會造成彼此衝突我們建議您解除安裝系統上的任何其他防毒程式請參閱知識庫文章以取得一般防毒軟體的解除安裝程式工具清單 (提供英文與其他語言版本) 下一個步驟便會顯示使用者授權合約請閱讀並按一下 [ 接受] 以認知您已接受使用者授權合約在接受條款之後按一下 [ 下一步] 便能繼續安裝程序 14

15 在您選取我接受... 並按一下 [ 下一步] 之後系統將提示您配置 ESET Live Grid ESET Live Grid 以協助確保 ESET 可迅速且持續地接收新入侵的相關資訊通知讓我們為客戶提供更強大的保護此系統允許您將新威脅提交到 ESET 病毒實驗室並對其進行分析處理及新增到病毒資料庫安裝程序的下一步是配置潛在不需要應用程式的偵測作業這類程式不一定是惡意的但是可能會經常對作業系統的行為造成負面影響請參閱潛在不需要應用程式一章以取得詳細資訊您可以按一下 [ 進階設定] 來存取其他設定 (例如將您的 ESET 產品安裝在特定資料夾或是在安裝後啟用自動掃描) 最後一步是按一下 [ 安裝] 來確認安裝進階安裝進階安裝可讓您自訂許多在執行一般安裝時無法使用的安裝參數在選取了您偏好的潛在不需要應用程式偵測作業並按一下 [ 進階設定] 後系統會提示您選取安裝產品資料夾的位置依預設程式會安裝至以下目錄 C:\P rogram Files \E S E T\E S E T E ndpoint A ntiv irus \ 您可以指定程式模組和資料的位置依預設這些內容會分別安裝至以下目錄 C:\P rogram Files \E S E T\E S E T E ndpoint A ntiv irus \ C:\P rogram Data\E S E T\E S E T E ndpoint A ntiv irus \ 15

16 按一下 [ 瀏覽... ] 即可變更這些位置 (不建議) 若要配置 Proxy 伺服器設定請選取 [ 我使用 P rox y 伺服器] 然後按一下 [ 下一步] 將 Proxy 伺服器的 IP 位址或 URL 輸入到 [ 位址] 欄位中如果不確定您是否使用 Proxy 伺服器連線至網際網路請選取 [ 使用與 Int ernet E x plorer 相同的設定 (建議)] 並按一下 [ 下一步] 如果您未使用 Proxy 伺服器請選取 [ 我不使用 P rox y 伺服器] 如需詳細資訊請參閱 Proxy 伺服器 16

若要自動下載程式元件升級請選取 [ 一律更新程式元件] 下一個安裝視窗提供設定密碼以保護程式設定的選項選取 [ 使用密碼保護配置設定] 並在 [ 新密碼] 與 [

17 自訂安裝可讓您定義如何在系統上處理自動程式更新按一下 [ 變更... ] 以存取進階設定如果您不想要更新程式元件請選取 [ 絕不更新程式元件] 選取 [ 下載程式元件前詢問] 以便在每次系統嘗試下載程式元件時顯示確認視窗若要自動下載程式元件升級請選取 [ 一律更新程式元件] 下一個安裝視窗提供設定密碼以保護程式設定的選項選取 [ 使用密碼保護配置設定] 並在 [ 新密碼] 與 [ 確認新密碼] 欄位中輸入您的密碼需要此密碼才能變更或存取 ESET Endpoint Antivirus 的設定兩個密碼欄位相符時按一下 [ 下一步] 以繼續進行若要停用在安裝完成後通常會執行的 [安裝完成後先掃描] 請取消選取 [ 啟用安裝後掃描] 旁的核取方塊 17

$msi /qn APPDIR=C:\ESET\ ADDLOCAL=DocumentProtection A P P DA TA DIR= < pat h> o 路徑 -有效的目錄路徑 o 應用程式資料安裝目錄 MODULE DIR= < pat h> o 路徑 -有效的目錄路徑 o 模組安裝目錄 A DDLOCA L= < lis t > o 元件安裝 -待安裝在本機上的非必要功能清單 o 使用$

18 按一下 [ 安裝] 以開始安裝 3.3 透過 E R A 的產品安裝 ( 命令列 ) 下列設定用於使用者介面上僅用於減少? 基本與無層級請參閱文件中有關用於適當命令列切換參數的 ms iex ec 版本說明受支援的參數 A P P DIR= < pat h> o 路徑 -有效的目錄路徑 o 應用程式安裝目錄 o 例如 ees_nt64_enu.msi /qn APPDIR=C:\ESET\ ADDLOCAL=DocumentProtection A P P DA TA DIR= < pat h> o 路徑 -有效的目錄路徑 o 應用程式資料安裝目錄 MODULE DIR= < pat h> o 路徑 -有效的目錄路徑 o 模組安裝目錄 A DDLOCA L= < lis t > o 元件安裝 -待安裝在本機上的非必要功能清單 o 使用 ESET.msi 套件 ees_nt64_enu.msi /qn ADDLOCAL=<list> o 如需有關 ADDLOCAL 屬性的詳細資訊請參閱 29.aspx 規則 o A DDLOCA L 清單是以逗號分隔的清單列出所有要安裝的功能名稱 o 選擇要安裝的功能時清單上必須明確包含整個路徑 (所有上層功能) o 請參閱其他規則以便正確使用此功能功能的存在 o o o o 必要 - 一律會安裝該功能選用 - 安裝時可以取消選取該功能隱藏 - 其他功能正常運作所必須的邏輯功能版面配置區 - 對產品沒有影響的功能但必須列為子功能 Endpoint 6.1 的功能樹狀目錄如下 18

19 功能樹狀目錄功能名稱功能的存在電腦電腦/ 病毒及間諜程式防護電腦/ 病毒及間諜程式防護 > 即時檔案系統防護電腦/ 病毒及間諜程式防護 > 電腦掃描電腦/ 病毒及間諜程式防護 > 文件防護電腦/ 裝置控制網路網路/ 個人防火牆 Web 和電子郵件 Web 和電子郵件通訊協定過濾 Web 和電子郵件/ Web 存取防護 Web 和電子郵件/ 電子郵件用戶端防護 Web 和電子郵件/ 電子郵件用戶端防護/ 郵件外掛程式 Web 和電子郵件/ 電子郵件用戶端防護/ 垃圾郵件防護 Web 和電子郵件/ Web 防護更新映像 Microsoft NAP 支援電腦病毒防護 RealtimeProtection 掃描文件防護 DeviceControl 網路防火牆 WebAnd ProtocolFiltering WebAccessProtection ClientProtection MailPlugins 垃圾郵件防護 WebControl UpdateMirror MicrosoftNAP 必要必要必要必要選用選用版面配置區選用版面配置區隱藏選用選用隱藏選用選用選用選用其他規則 o 如果已選取要安裝任何 WebA nde mail 功能清單上必須明確包含隱藏的 P rot oc olfilt ering 功能 o 如果已選取要安裝任何 E mailclient P rot ec t ion 子功能清單上必須明確包含隱藏的 MailP lugins 功能範例 ees_nt64_enu.msi /qn ADDLOCAL=WebAnd ,WebAccessProtection,ProtocolFiltering ees_nt64_enu.msi /qn ADDLOCAL=WebAnd , ClientProtection,Antispam,MailPlugins CFG 屬性清單 CFG_ P OTE NTIA LLY UNWA NTE D_ E NA B LE D= 1/ 停用 1 - 啟用 PUA CFG_ LIV E GRID_ E NA B LE D=1/0 0 - 停用 1 - 啟用 LiveGrid FIRS TS CA N_ E NA B LE =1/0 0 - 停用 1 - 啟用在安裝後排程新的 FirstScan CFG_ E P FW_ MODE =0/1/2/3 0 - 自動 1 - 互動 2 - 原則 3 - 學習 CFG_ P ROX Y _ E NA B LE D=0/1 0 - 停用 1 - 啟用 CFG_ P ROX Y _ A DDRE S S =<ip> Proxy IP 位址 CFG_ P ROX Y _ P ORT=<port> Proxy 連接埠號碼 CFG_ P ROX Y _ US E RNA ME =<user> 驗證的使用者名稱 CFG_ P ROX Y _ P A S S WORD=<pass> 驗證的密碼 19

20 3.4 產品啟動安裝完成之後系統將提示您啟動您的產品選取其中一種可用方法來啟動 ESET Endpoint Antivirus 請參閱如何啟動 ESET Endpoint Antivirus 取得更多資訊 3.5 電腦掃描在安裝完成之後的 15 分鐘內 (電腦必須重新開機) ESET Endpoint Antivirus 將自動執行電腦掃描除了初次掃描我們還建議您執行定期電腦掃描或排程定期掃描以便檢查威脅在主要功能表視窗中按一下 [ 電腦掃描] 然後按一下 [ 智慧型掃描] 如需有關電腦掃描的詳細資訊請參閱電腦掃描 3.6 升級至最新版本新推出 ESET Endpoint Antivirus 版本將改善或修正自動程式模組更新無法解決的問題透過以下幾種方式即可升級為新版 1. 透過程式更新自動升級由於程式更新會散佈至所有使用者而且可能影響某些系統配置因此會在經過長時間測試後才發行以針對所有可能的系統配置完成平順的運作如果您需要在此發行後立即升級為新版本請使用以下其中一種方法 2. 透過下載新版本並安裝覆蓋舊版的方式手動升級 3. 透過 ESET Remote Administrator 在網路環境中以自動部署進行手動升級 20

21 3.7 初學者手冊本章提供 ESET Endpoint Antivirus 及其基本設定的初始概觀使用者介面 ESET Endpoint Antivirus 的主要程式視窗分為兩個主要區段右側的主要視窗顯示對應從左側的主要功能表中所選取選項的資訊以下為主要功能表中選項的說明防護狀態 - 提供與 ESET Endpoint Antivirus 的防護狀態有關的資訊電腦掃描 - 此選項可讓您配置及啟動智慧型掃描自訂掃描或可移除的媒體掃描您也可以重複上次執行的掃描更新 - 顯示有關病毒資料庫的資訊設定 - 選取這個選項來調整您的電腦或 Web 和電子郵件安全性設定工具 - 可存取防護記錄檔案防護統計即時監控執行中的處理程序排程器隔離區,ESET SysInspector 以及 ESET SysRescue 以建立救援光碟您也可以提交樣本以供分析說明及支援 - 提供存取說明檔案 ESET 知識庫和 ESET 公司網站同時提供可開啟客戶服務支援要求支援工具以及產品啟動相關資訊的連結 [ 防護狀態] 畫面可告知您電腦的安全性及目前的防護層級綠色 [ 最嚴格的防護] 狀態表示已確保最嚴格的防護下面狀態視窗也會顯示快速連結讓您連結到 ESET Endpoint Antivirus 中經常使用的功能以及最近一次更新的資訊 21

22 如果程式運作不正常怎麼辦如果啟用的模組正常運作則會標上綠色核取符號如果不正常則會顯示紅色驚嘆號或橙色通知圖示視窗的上半部會顯示模組的其他相關資訊同時還會顯示修正模組的建議解決方案若要變更個別模組的狀態請按一下主要功能表中的 [ 設定] 然後按一下需要的模組含有的紅色圖示表示嚴重問題 -未確保電腦獲得最嚴格的防護可能的原因如下 [ 病毒及間諜程式防護已停用] - 您可以按一下 [ 防護狀態] 窗格中的 [ 啟用即時防護] 或按一下主要程式視窗 [ 設定] 窗格中的 [ 啟用病毒及間諜程式防護] 以重新啟用病毒及間諜程式防護病毒資料庫已過期 - 您在使用過期的病毒資料庫產品尚未啟動或授權已過期 - 這是由變成紅色的 [防護] 狀態圖示所表示授權過期後即無法更新程式建議按照警告視窗中的指示更新您的授權含有的橙色圖示表示您的 ESET 產品需要注意非重要的問題可能的原因包含 Web 存取防護已停用 - 您可以按一下安全性通知以重新啟用 Web 存取防護然後再按一下 [ 啟動 Web 存取防護] 您的授權即將到期 - 這是由顯示驚嘆號的防護狀態圖示所表示您的授權到期後程式將無法更新 [防護] 狀態圖示將變成紅色如果您無法使用建議的解決方案解決問題請按一下 [ 說明及支援] 以存取說明檔案或搜尋 ESET 知識庫如果您仍需要協助可以提交 ESET 客戶服務支援要求 ESET 客戶服務將快速回答您的問題並協助尋找解決方法 22

23 3.7.2 更新設定更新病毒資料庫及程式元件是維護完整防護防止惡意程式碼的一個重要部分請特別注意更新配置與作業從主要功能表中選取 [ 更新] > [ 立即更新] 檢查是否有較新的資料庫更新如果尚未輸入您的 [ 授權金鑰] 您就無法收到新的更新並且會收到提示提醒您啟動產品 23

24 [進階設定] 視窗 (從主要功能表按一下 [ 設定] > [ 進階設定] 或按鍵盤上的F5) 包含其他的更新選項若要配置例如更新模式 Proxy 伺服器存取 LAN 連線以及建立病毒碼副本設定之類的進階更新選項請按一下 [進階設定] 樹狀目錄中的 [ 更新] 如果更新遭遇問題請按一下 [ 清除] 以清除暫時更新快取 [ 更新伺服器] 功能表依預設將設定為 [ A UTOS E LE CT] 使用 ESET 伺服器時我們建議您讓 [ 自動選擇] 選項保持選取狀態如果您不想要顯示在螢幕右下角的系統匣通知請選取 [ 停用成功更新後顯示通知] 若要取得最佳功能自動更新程式是很重要的僅當在 [ 說明及支援] > [ 啟動產品] 中輸入正確的 [ 授權金鑰] 時才可以這樣做如果您並未在安裝後輸入您的授權金鑰您可以隨時輸入如需更多有關啟動的詳細資訊請參閱如何啟動 ESET Endpoint Antivirus 並在 [ 授權詳情] 視窗中輸入您使用 ESET 安全性產品接收的憑證 3.8 常見問題本章涵蓋的是一些使用者最常詢問的問題以及最常遇到的問題按一下主題標題以瞭解如何解決您的問題如何更新 ESET Endpoint Antivirus 如何啟動 ESET Endpoint Antivirus 如何使用目前的憑證啟動新產品如何從我的 PC 移除病毒如何在排程器中建立新的工作如何排程掃描工作 (每隔 24 小時) 如何將我的產品連接至 ESET Remote Administrator 如何配置映像如果您的問題不在以上說明頁面清單中請嘗試在 ESET Endpoint Antivirus [說明] 頁面搜尋可說明問題的關鍵字或片語如果您在 [說明] 頁面內找不到問題的解決方案可以造訪我們提供常見問題解答的 ESET 知識庫如何移除 Sirefef (ZeroAccess) 特洛伊木馬程式更新映像疑難排解檢查清單我應該要開啟第三方防火牆上的哪個位址和連接埠才能使用 ESET 產品的全部功能 24

25 必要的話您可以連絡我們的線上技術支援中心以解決您的問題您可以在主要程式視窗中的 [ 說明及支援] 窗格中找到線上連絡人表單的連結如何更新 E SE T E ndpoint A ntivirus 您可以手動也可以自動執行 ESET Endpoint Antivirus 更新若要觸發更新請按一下在主要功能表 [ 更新] 區段中的 [ 立即更新] 預設安裝設定會建立每小時執行的自動更新工作若要變更間隔請瀏覽至 [ 工具] > [ 排程器] (如需排程器的詳細資訊請按一下這裡) 如何啟動 E SE T E ndpoint A ntivirus 安裝完成之後系統將提示您啟動您的產品有數個方法可啟動您的產品啟動視窗中可使用的特定啟動狀況會視國家及發行方法 (CD/DVD ESET 網頁等) 而異若要從程式直接啟動 ESET Endpoint Antivirus 的副本請按一下系統匣圖示並從功能表中選取 [ 啟動產品授權] 您也可以在 [ 說明及支援] > [ 啟動產品] 下的主要功能表或在 [ 防護狀態] > [ 啟動產品] 中啟動您的產品您也可以使用下列任何一種方法來啟動 ESET Endpoint Antivirus 授權金鑰 - 採用格式 XXXX-XXXX-XXXX-XXXX-XXXX 的唯一字串可供您用來識別授權擁有者和授權的啟動安全管理員 - 從 ESET License Administrator 入口網站使用憑證 (電子郵件地址 +密碼) 所建立的帳戶這個方法可讓您從一個位置管理多個授權離線授權 - 自動產生的檔案其將傳輸到 ESET 產品以提供授權資訊如果授權允許您下載離線授權檔案 (.lf) 則該檔案可用來執行離線啟動離線授權的數量將會從可用授權的總數中減去如需產生離線檔案的相關詳細資料請參閱 ESET License Administrator 使用者指南如果您的電腦是受管理網路的成員而且您的管理員將透過 ESET Remote Administrator 執行遠端啟動請按一下 [ 稍後啟動] 如果您想要稍後再啟動此用戶端也可以使用此選項如果您有使用者名稱與密碼但不知道如何啟動 ESET Endpoint Antivirus 請按一下 [ 我有一組使用者名稱和密碼我可以做什麼 ] 系統會將您重新導向至 ESET License Administrator 您可以在其中轉換憑證為授權金鑰您可以隨時變更您的產品授權若要這麼做請在主要程式視窗中按一下 [ 說明及支援] > [ 管理授權] 您將會看到用於識別您 ESET 支援授權的公用授權 ID 電腦用來註冊的使用者名稱儲存在 [ 關於] 區段以滑鼠右鍵按一下系統匣圖示視就能檢附註 ESET Remote Administrator 可透過管理員提供的授權默默地啟動用戶端電腦如需這麼做的指示請參閱 ESET Remote Administrator 使用者手冊如何使用目前的憑證啟動新產品如果您已經有 [使用者名稱] 和 [密碼] 並且想要接收 [授權金鑰] 請造訪 ESET License Administrator 入口網站您可以在其中轉換憑證至新的授權金鑰如何從我的 PC 移除病毒如果您的電腦正在顯示惡意程式感染的信號 (例如速度更慢頻繁凍結) 我們建議您執行下列各項 1. 在主要程式視窗中按一下 [ 電腦掃描] 2. 按一下 [ 智慧型掃描] 開始掃描系統 3. 完成掃描之後請檢閱已掃描受感染及已清除的檔案防護記錄 4. 如果您想要僅掃描磁碟的某一部分請按一下 [ 自訂掃描] 並選取要進行病毒掃描的目標如需其他資訊請參閱我們定期更新的 ESET 知識庫文章 25

26 3.8.5 如何在排程器中建立新的工作若要在 [ 工具] > [ 排程器] 中建立新工作請按一下 [ 新增工作] 或按一下滑鼠右鍵並從內容功能表中選取 [ 新增... ] 有五種類型的排程工作可用執行外部應用程式 - 排程以執行外部應用程式防護記錄維護 - 防護記錄檔案還包括已刪除記錄的剩餘部分此工作會定期最佳化防護記錄檔案中的記錄以有效運作系統啟動檔案檢查 - 檢查系統啟動或登入時允許執行的檔案建立電腦狀態快照 - 建立 ESET SysInspector 電腦快照 -收集關於系統元件 (例如驅動程式應用程式) 的詳細資訊並評估各個元件的風險層級指定電腦掃描 - 針對電腦中的檔案及資料夾執行掃描先掃描 - 依預設在安裝後 20 分鐘或電腦重新開機時將執行掃描以進行低優先順序工作更新 - 更新病毒資料庫與程式模組來排程更新工作由於 [ 更新] 是其中一個最常用的排程工作因此我們將在下面解釋如何新增更新工作從 [ 已排程的工作] 下拉式功能表中選取 [ 更新] 在 [ 工作名稱] 欄位中輸入工作的名稱接著按一下 [ 下一步] 選取工作的頻率可用選項如下 [ 一次]? [ 重複]? [ 每日]? [ 每星期] 與 [ 事件觸發] 選取 [ 使用電池執行時略過工作] 以在膝上型電腦使用電池執行時將系統資源消耗降到最低工作會在 [ 工作執行] 欄位中的指定日期和時間執行接著定義排程期間無法執行或完成工作時要採取的處理方法可用選項如下於下次排程的時間儘快如果距離上次執行的時間超過指定值則立即執行工作 (可以使用[ 自上次執行後經過的時間] 捲動方塊定義間隔) 在下一步中會顯示目前已排程工作資訊的摘要視窗完成變更之後按一下 [ 完成] 隨即顯示對話方塊視窗可讓您選取用於排程工作的設定檔在這裡您可以設定主要設定檔及替代設定檔如果使用主要設定檔無法完成工作時將會使用替代設定檔按一下 [ 完成] 進行確認即可將排程工作新增至目前排程工作清單如何排程掃描工作 ( 每隔 24 小時 ) 若要排程定期工作請開啟主要程式視窗並按一下 [ 工具] > [ 排程器] 您可以在下面找到關於如何排程工作的簡短手冊而此工作將會每隔 24 小時掃描一次本機磁碟若要排程掃描工作 1. 在主要的 [排程器] 畫面中按一下 [ 新增] 2. 從下拉式功能表中選取 [ 指定電腦掃描] 3. 輸入工作的名稱並選取 [ 重複] 4. 選擇每隔 24 小時執行一次工作 5. 如果已排程的工作執行由於任何原因而失敗請選取要執行的處理方法 6. 檢閱已排程工作的摘要並按一下 [ 完成] 7. 從 [ 目標] 下拉式功能表中選取 [ 本機磁碟] 8. 按一下 [ 完成] 以套用工作如何連接 E SE T E ndpoint A ntivirus 至 E SE T R emote A dministrator 當您已在電腦上安裝 ESET Endpoint Antivirus 並希望透過 ESET Remote Administrator 連接請確定您也已在用戶端工作站上安裝 ERA Agent ERA Agent 對於與 ERA Server 通訊的每個用戶端解決方案而言是很重要的工具 ESET Remote Administrator 使用 RD Sensor 工具來搜尋網路上的電腦由 RD Sensor 偵測到您網路上的每台電腦會顯示在 Web Console 中部署代理程式後您可以在用戶端電腦上執行 ESET 安全性產品的遠端安裝遠端安裝的確切步驟如 ESET Remote Administrator 使用者指南所述 26

27 3.8.8 如何配置映像 ESET Endpoint Antivirus 可配置為儲存病毒資料庫更新檔案的副本並散佈更新至其他執行 ESET Endpoint Security 或 ESET Endpoint Antivirus 的工作站配置 E S E T E ndpoint A nt iv irus 為映像伺服器以透過內部 HTTP 伺服器提供更新按下 F5 以存取 [進階設定] 並展開 [ 更新] > [ 基本] 請確認 [ 更新伺服器] 設定為 [ A UTOS E LE CT] 從 [ 進階設定] > [ 基本] > [ 映像] 選取 [ 建立更新映像] 和 [ 經由內部 HTTP 伺服器提供更新檔案] 配置映像伺服器以透過共用網路資料夾提供更新在本機或網路裝置上建立共用資料夾此資料夾必須可由執行 ESET 安全解決方案的所有使用者讀取並可從本機的 SYSTEM 帳戶寫入啟動 [ 進階設定] > [ 基本] > [ 映像] 之下的 [ 建立更新映像] 瀏覽並選取已建立的共用資料夾附註: 如果您不想要透過內部 HTTP 伺服器更新請解除 [ 透過內部 HTTP 伺服器提供更新檔案] 如何利用 E SE T E ndpoint A ntivirus 升級至 Windows 10 我們強烈建議您在升級至 Windows 10 之前將您的 ESET 產品升級至最新版本並下載最新的病毒資料庫這可確保您的程式設定和授權資訊在升級至 Windows 10 期間獲得完整防護及保留 6. x 和更新版本請按一下下方適當的連結以下載並安裝最新版本以準備升級至 Microsoft Windows 10 下載 ESET Endpoint Security 6 32 位元版下載 ESET Endpoint Antivirus 6 32 位元版下載 ESET Endpoint Security 6 64 位元版下載 ESET Endpoint Antivirus 6 64 位元版 5. x 和更早版本請按一下下方適當的連結以下載並安裝最新版本以準備升級至 Microsoft Windows 10 下載 ESET Endpoint Security 5 32 位元版下載 ESET Endpoint Antivirus 5 32 位元版下載 ESET Endpoint Security 5 64 位元版下載 ESET Endpoint Antivirus 5 64 位元版其他語言版本如果您正在尋找您 ESET 端點產品的其他語言版本請造訪我們的下載頁面附註: 有關 ESET 產品與 Windows 10 相容性的詳細資訊 27

3.9 使用 E S E T E ndpoint A ntivirus ESET Endpoint Antivirus 設定選項可讓您調整電腦 Web 和電子郵件的防護層級 [ 設定] 功能表包含下列區段電腦 Web 和電子郵件 [ 電腦] 防護設定可讓您啟用或停用下列元件即時檔案系統防護 - 開啟建立或在電腦上執行所有檔案時都會掃描這些檔案是否具有惡意程式碼文件防護 -

28 3.9 使用 E S E T E ndpoint A ntivirus ESET Endpoint Antivirus 設定選項可讓您調整電腦 Web 和電子郵件的防護層級 [ 設定] 功能表包含下列區段電腦 Web 和電子郵件 [ 電腦] 防護設定可讓您啟用或停用下列元件即時檔案系統防護 - 開啟建立或在電腦上執行所有檔案時都會掃描這些檔案是否具有惡意程式碼文件防護 - 文件防護功能可在 Microsoft Office 文件開啟前先行掃描文件以及掃描 Internet Explorer 自動下載的檔案 (如 Microsoft ActiveX 元素) HIP S - HIPS 系統監控作業系統中所發生的事件並根據自訂的規則集合執行反應動作簡報模式 - 一項專為要求可不間斷地使用軟體不想受到快顯視窗打擾而且想要將 CPU 用量減到最少的使用者所設計的功能啟用 [簡報模式] 之後您將收到警告訊息 (潛在的安全性風險) 接著主要程式視窗會轉為橙色反隱藏防護 - 可偵測例如 Rootkit 等危險程式該危險程式可在作業系統中隱藏自己這就意味著使用一般測試技術無法偵測到它們 [ Web 和電子郵件] 防護設定可讓您啟用或停用下列元件 Web 存取防護 - 啟如果啟用則會掃描透過 HTTP 的所有流量以尋找惡意軟體電子郵件用戶端防護 - 可監視透過 POP3 和 IMAP 通訊協定收到的通訊網路釣魚防護- 保護您免受攻擊者透過非法網站偽裝成合法網站來取得您的密碼銀行資料和其他敏感資料若要暫時停用個別模組請按一下所需模組旁的綠色選項若要將停用的安全性元件防護重新啟用按一下紅色選項請注意這會降低電腦的防護層級便可將元件返回啟用狀態附註透過這種方式停用的所有防護方法都會在電腦重新啟動後重新啟用若要存取特定安全元件的詳細設定請按一下任何元件旁邊的齒輪 28.

29 設定視窗最下方有其他選項若要使用.x m l 配置檔案載入設定參數或將目前的設定參數儲存至配置檔案請使用 [ 匯入/ 匯出設定] 選項如需更多詳細資訊請參閱匯入/ 匯出設定如需更多詳細選項請按一下 [ 進階設定] 或按 F 電腦您可以在 [ 設定] > [ 電腦] 下找到 [ 電腦] 模組該處會顯示上一章介紹的防護模組概要這個區段提供您使用下列設定按一下 [ 即時檔案系統防護] 旁邊的齒輪料夾接著按一下 [ 編輯排除] 來開啟 [排除] 設定視窗您可從掃描中排除檔案與資附註文件防護狀態必須先從 [ 進階設定] (F5) > [ 病毒防護] > [ 文件防護] 啟用後您才可以使用啟用之後您需要按一下裝置控制之下的 [ 重新啟動] 從 [設定] 窗格 > [電腦] 重新啟動電腦或者您可以按一下 [ 重新啟動電腦] 從 [防護狀態] 窗格重新啟動電腦停用病毒及間諜程式防護 - 每當您要暫時停用病毒及間諜程式防護時您可以使用下拉式功能表選取您所選取要停用元件的時間長度然後按一下 [ 套用] 來停用安全性元件若要重新啟用防護請按一下 [ 啟用病毒及間諜程式防護] 電腦掃描設定...- 按一下以調整電腦掃描的參數 (手動執行的掃描) 病毒防護病毒防護可藉由控制檔案電子郵件及網際網路通訊來防止惡意系統攻擊如果偵測到威脅防毒模組可透過封鎖接著清除刪除或將其移至隔離區來消滅它為詳細地配置防毒模組設定請按一下 [ 進階設定] 或按 F5 所有防護模組的掃描器選項 (例如即時檔案系統防護 Web 存取防護... ) 皆可讓您啟用或停用以下項目的偵測功能 [ 潛在不需要應用程式] (PUA) 不一定是惡意的但是對電腦效能可能會造成負面影響請在字彙中閱讀更多有關這些類型應用程式的資訊 [ 潛在不安全的應用程式] 是指合法但可能不當用於惡意用途的商業軟體例如遠端存取工具密碼破解應用程式及鍵盤記錄程式 (記錄每次使用者按鍵的程式) 等皆為潛在不安全的應用程式依預設會停用此選項請在字彙中閱讀更多有關這些類型應用程式的資訊 [ 可疑的應用程式] 包括以壓縮器或保護程式壓縮的程式惡意軟體作者通常會使用這些類型的保護程式規避偵測 [ 反隱藏技術] 是一種精密的系統能偵測例如 rootkits 等危險程式這些危險程式可隱藏於作業系統中這就意味著使用一般測試技術無法偵測到它們 [ 排除] 可讓您從掃描中排除檔案及資料夾為確保所有物件已掃描是否存在威脅我們建議您只有在絕對必要時建立排除在某些情況下您可能需要排除可能包含掃描大型資料庫項目的物件因其在掃描期間或是軟體與掃描衝突時可能會降低電腦速度若要從掃描中排除物件請參閱排除 29

30 偵測到入侵入侵可以從網頁共用資料夾等不同的進入點透過電子郵件或從可移除的裝置 (USB 外部磁碟 CD DVD 磁碟片等) 到達系統標準行為做為 ESET Endpoint Antivirus 處理入侵的一般範例入侵的偵測可使用即時檔案系統防護 Web 存取防護電子郵件用戶端防護指定電腦掃描個別使用標準清除層級並且將嘗試清除檔案並移至隔離區或終止連線通知視窗會顯示在畫面右下角的通知區域中如需有關清除層級和行為的詳細資訊請參閱清除 30

31 清除及刪除如果沒有要針對即時檔案系統防護採取的預先定義處理方法則會提示您在警告視窗中選取一個選項通常可以使用 [ 清除]? [ 刪除] 及 [ 不進行處理] 選項不建議選取 [ 不進行處理] 因為它不會清除受感染的檔案但若您確定檔案無害只是因失誤而偵測為入侵則可破例選用此選項如果已將惡意程式碼連接至檔案的病毒已攻擊檔案則套用清除如果是這種情況則請先嘗試清除受感染的檔案以將其還原為原始狀態如果該檔案僅由惡意程式碼組成則會刪除該檔案如果受感染的檔案已鎖定或正由系統程序使用則通常只會在釋放之後才會刪除它 (通常在系統重新啟動後) 多種威脅如果在電腦掃描期間沒有清除任何受感染的檔案 (或清除層級設為 [ 不清除] ) 則警告視窗會提示您針對顯示的那些檔案選取處理方法刪除壓縮檔中的檔案在預設清除模式中只有在整個壓縮檔包含受感染的檔案而不包含未感染檔案時才會刪除它也就是說如果壓縮檔還包含無害的未感染檔案則不會進行刪除執行完全清除掃描時請小心因為啟用完全清除後當壓縮檔內含有至少一個受感染的檔案時即會刪除壓縮檔無論壓縮檔中其他檔案的狀態為何如果您的電腦正在顯示惡意程式感染的信號 (例如速度更慢頻繁凍結等) 我們建議您執行下列各項開啟 ESET Endpoint Antivirus 然後按一下 [電腦掃描] 按一下 [ 智慧型掃描] (如需詳細資訊請參閱電腦掃描) 完成掃描之後請檢閱已掃描受感染及已清除的防護記錄如果您僅想要掃描磁碟的某一部分請按一下 [ 自訂掃描] 並選取要進行病毒掃描的目標共用本機快取共用本機快取會減少網路中的重複掃描進而提高虛擬環境的效能這樣可確保每個檔案僅會掃描一次並存放在共用快取中開啟 [ 快取選項] 切換將掃描您網路中檔案與資料夾的資訊儲存到本機快取若您執行新掃描 ESET Endpoint Antivirus 將搜尋快取中的已掃描檔案若檔案相符則其將從掃描中排除快取伺服器包括下列設定主機名稱 - 快取所在電腦的名稱或 IP 位址連接埠 - 用於通訊的連接埠號碼 (與共用本機快取中的設定相同) 密碼 - 指定共用本機快取密碼 (如果需要的話) 31

32 即時檔案系統防護即時檔案系統防護控制系統中與防毒相關的所有事件開啟建立或在電腦上執行所有檔案時都會掃描這些檔案是否具有惡意程式碼在系統啟動時會啟動即時檔案系統防護依預設即時檔案系統防護會在系統啟動時同時啟動並持續提供掃描在特殊情況下 (例如如果與其他即時掃描器發生衝突) 則可以解除 [ 即時檔案系統防護] > [ 基本] 下 [ 進階] 設定中的 [ 自動啟動即時檔案系統防護] 以停用即時防護要掃描的媒體依預設會掃描所有媒體類型是否有潛在的威脅本機磁碟 - 控制所有系統硬碟 [ 可移除的媒體] - 控制 CD/DVD USB 儲存裝置藍芽裝置等網路磁碟 - 掃描所有對應的磁碟機我們建議使用預設值設定只有在特殊情況下才修改這些設定例如掃描某些媒體而明顯減慢資料傳送時執行掃描的時間依預設在開啟建立或執行時會掃描所有檔案我們建議您保留預設設定因為這些預設值會為電腦提供最高等級的即時防護 [ 開啟檔案] - 啟用/ 停用在開啟檔案時掃描 [ 建立檔案] - 啟用/ 停用在建立檔案時掃描 [ 執行檔案] - 啟用/ 停用在執行檔案時掃描可移除媒體存取 - 啟用或停用存取有儲存空間的特定可移除媒體所觸發的掃描 [ 關閉電腦] - 啟用或停用關閉電腦所觸發的掃描即時檔案系統防護會檢查所有媒體類型而且各種系統事件 (例如存取檔案) 都會觸發掃描使用 ThreatSense 技術偵測方法 (如 ThreatSense 引擎參數設定一節所述) 即時檔案系統防護可設定為將新建立檔案視為與現有檔案不同例如您可以設定即時檔案系統防護以更密切監視新建立的檔案為確保在使用即時防護時佔用最低的系統使用量已掃描的檔案不予重複掃描 (除非已經過修改) 每次更新病毒資料庫之後 32

33 會立即重新掃描檔案使用 [ 智慧型最佳化] 可控制此行為如果停用此 [ 智慧型最佳化] 則所有檔案都會在每次存取時進行掃描若要修改此設定請按 F5 以開啟 [進階設定] 並展開 [ 病毒防護] > [ 即時檔案系統防護] 請按一下 [ Threat S ens e 參數] > [ 其他] 並選取或取消選取 [ 啟用智慧型最佳化] 其他 T hreatsense 參數用於新建立及已修改檔案的其他 Threat S ens e 參數 - 新建立或已修改檔案感染的可能性高於現有的檔案這正是為何程式會以額外的掃描參數檢查這些檔案的原因除了常見的病毒碼掃描方法也會使用進階啟發式在病毒資料庫更新發行前先偵測新的威脅除了新建立的檔案之外可針對自我解壓檔 (.sfx) 及運行時間壓縮器 (內部壓縮的執行檔案) 執行掃描依預設至多可以掃描至保存檔的第 10 層巢狀層級並不論其實際大小都會進行檢查若要修改壓縮檔掃描設定請停用 [ 預設壓縮檔掃描設定] 若要瞭解有關 [ 加殼技術虛擬機偵測]? [ 自我解壓檔] 和 [ 進階啟發式] 的更多資訊請參閱 ThreatSense 引擎參數設定 [ 用於已執行檔案的其他 Threat S ens e 參數] - 根據預設執行檔案時會使用進階啟發式啟用時我們強烈建議您保持啟用智慧型最佳化和 ESET Live Grid 以減輕對系統效能的影響清除層級即時防護具有三個清除層級 (若要存取清除層級設定請按一下 [ 即時檔案系統防護] 區段中的 [ Threat S ens e 引擎參數設定] 然後按一下 [ 清除] ) 不清除 - 不會自動清除受感染的檔案程式會顯示警告視窗並允許使用者選擇處理方法此層級針對進階使用者而設計進階使用者瞭解出現入侵時需採取哪些步驟正常清除 - 程式會根據預先定義的處理方法 (視入侵的類型而定) 嘗試自動清除或刪除受感染檔案畫面右下角會顯示通知表示受感染檔案的偵測及刪除如果無法自動選取正確的處理方法則程式會提供其他的後續處理方法無法完成預先定義的處理方法時程式也會提供後續處理方法的選項完全清除 - 程式會清除或刪除所有受感染檔案只有系統檔案例外如果無法清除受感染的檔案則系統會提示使用者在警告視窗中選取一個處理方法警告如果壓縮檔包含受感染的檔案則您可以選用兩個選項來處理壓縮檔在標準模式 (標準清除) 中如果壓縮檔內所有檔案均受感染則刪除整個壓縮檔在 [ 完全清除] 模式中當壓縮檔內含有至少一個受感染的檔案時即會刪除壓縮檔無論壓縮檔中其他檔案的狀態為何檢查即時防護若要驗證即時防護正在運作並偵測病毒請使用來自 eicar.com 的測試檔案此測試檔案是所有防毒程式都可偵測到的無害檔案該檔案由 EICAR (European Institute for Computer Antivirus Research) 公司建立以測試防毒程式的功能此檔案的下載連結為何時修改即時防護配置即時檔案系統防護是維護系統安全的最重要組成部分修改其參數時請務必小心建議您僅在特定情況中修改其參數安裝 ESET Endpoint Antivirus 之後所有設定都已最佳化為使用者提供最高層級的系統安全若要還原預設值請按一下視窗中每個索引標籤旁的 ([ 進階設定] > [ 病毒防護] > [ 即時檔案系統防護] ) 即時防護無法運作時怎麼辦在本章中我們說明使用即時防護時可能發生的問題以及如何疑難排解這些問題已停用即時防護如果使用者不小心停用即時防護則需要重新啟動它若要重新啟動即時防護請瀏覽至主要程式視窗的 [ 設定] 並且按一下 [ 即時檔案系統防護] 如果在系統啟動時未啟動即時保護則通常是由於已取消選取 [ 自動啟動即時檔案系統防護] 的緣故若要啟用此選項請瀏覽至 [ 進階設定] (F5) 並按一下 [ 防毒] > [ 即時檔案系統防護] > [ 基本] 請確定 [ 自動啟動即時檔案系統防護] 選項已經開啟 33

34 如果即時防護不會偵測及清除入侵請確定電腦上未安裝任何其他防毒程式如果同時啟用兩個即時保護程式則它們可能互相衝突我們建議您先解除安裝系統上的任何其他防毒程式再安裝 ESET 即時防護未啟動如果在系統啟動時未啟動即時保護 (且已啟用 [ 自動啟動即時檔案系統保護] ) 則可能是由於與其他程式發生衝突如需解決此問題的協助請連絡 ESET 客戶服務指定電腦掃描指定掃描器是 ESET Endpoint Antivirus 防毒解決方案中的一個重要部分它可用來針對電腦中的檔案及資料夾執行掃描從安全觀點來看不應該僅在懷疑有感染時才執行電腦掃描出於常規安全性考量也應定期執行掃描我們建議您定期執行 (例如一個月一次) 系統深入掃描以偵測未由即時檔案系統防護偵測出的病毒當資料寫入磁碟時即時檔案系統防護已停用病毒資料庫已過時或是當檔案儲存至磁碟時未偵測為病毒就可能發生上述情況可以使用兩種 [ 電腦掃描] 類型 [ 智慧型掃描] 可快速掃描系統而無需進一步配置掃描參數自訂掃描可讓您選取任何預先定義的掃描設定檔以及定義特定的掃描目標請參閱掃描進度取得更多關於掃描進度的資訊智慧型掃描智慧型掃描可讓您快速啟動電腦掃描並清除感染的檔案無需使用者介入智慧型掃描的優點在於可以輕鬆執行作業而不需要詳細的掃描配置智慧型掃描會檢查本機磁碟中所有的檔案且會自動清除或刪除偵測到的入侵清除層級會自動設為預設值如需更多有關清除類型的資訊請參閱清除自訂掃描如果您想要指定掃描參數 (例如掃描目標及掃描方法) 則自訂掃描是可最理想的解決方案自訂掃描的優點是可以詳細地配置參數您可以將配置儲存為使用者定義的掃描設定檔以利於使用相同參數重複執行掃描若要選取掃描目標請選取 [ 電腦掃描] > [ 自訂掃描] 然後從 [ 掃描目標] 下拉式功能表中選取選項或從樹狀結構中選取特定目標亦可輸入您希望納入的資料夾或檔案路徑指定掃描目標如果您只對掃描系統有興趣且不使用其他清除處理方式請選取 [ 掃描但不清除] 當執行掃描時您可以從三種清除層級中選擇只要按一下 [ 設定... ] > [ Threat S ens e 參數] > [ 清除] 具有使用防毒程式經驗的進階使用者適合使用自訂掃描執行電腦掃描可移除的媒體掃描與智慧型掃描類似 -可快速啟動掃描目前與電腦連接的可移除媒體 (如 CD/DVD/USB) 當您將 USB 隨身碟連接到電腦時並想要掃描其內容是否有潛在威脅這功能十分有用按一下 [ 自訂掃描] 再選取 [ 掃描目標] 下拉式功能表中的 [ 可移除的媒體] 並按一下 [ 掃描] 也可啟動這類型掃描您可以使用 [ 掃描後的處理方法] 下拉式功能表來選擇掃描執行後的動作 (不進行處理關閉電腦和重新開機) 啟用在掃描後關閉 - 當指定電腦掃描完成時啟用已排程的關閉作業關閉確認對話方塊視窗將顯示 60 秒倒數按一下 [ 取消] 可停用要求的關機作業附註我們建議您一個月至少執行一次電腦掃描您可以透過 [ 工具] > [ 排程器] 將掃描配置為已排程的工作 34

35 自訂掃描啟動器如果只要掃描特的目標您可以按一下 [ 電腦掃描] > [ 自訂掃描] 接著選取 [ 掃描目標] 下拉式功能表中的選項或從資料夾 (樹狀) 結構中選取特定的目標就能使用 [自訂掃描] 工具 [掃描目標] 視窗可讓您定義掃描入侵的物件 (記憶體磁碟機磁區檔案及資料夾) 從列出電腦上所有可用裝置的樹狀結構中選取目標 [ 掃描目標] 下拉式功能表可讓您選取預先定義的掃描目標使用設定檔設定 - 選取所選掃描設定檔中設定的目標可移除媒體 - 選取磁碟片 USB 儲存裝置 CD/DVD 本機磁碟機 - 選取所有系統硬碟網路磁碟機 - 選取所有對應的網路磁碟機不選擇 - 取消所有選擇若要快速瀏覽至掃描目標或直接新增想要的目標 (資料夾或檔案) 請將其輸入資料夾清單下方的空白欄位僅當樹狀結構中沒有選取任何目標且 [ 掃描目標] 功能表設為 [ 不選擇] 時才可以這樣做感染項目不會自動清除掃描但不清除可用來取得目前防護狀態的概觀如果您只對掃描系統有興趣且不使用其他清除處理方式請選取 [ 掃描但不清除] 您亦可進一步使用下列方法選用三種清除層級按一下 [ 設定... ] > [ Threat S ens e 參數] > [ 清除] 掃描的相關資訊會儲存在掃描防護記錄中您可以從 [ 掃描設定檔] 下拉式功能表中選擇用於掃描所選目標的設定檔預設的設定檔是 [ 智慧型掃描] 還有兩個預先定義的掃描設定檔名稱分別是 [ 深入掃描] 與 [ 內容功能表掃描] 這些掃描設定檔會使用不同的 ThreatSense 引擎參數. 按一下 [ 設定... ] 可詳細設定從 [掃描設定檔] 功能表中選擇的掃描設定檔在 ThreatSense 引擎參數設定中的 [ 其他] 區段下有可用選項的說明按一下[ 儲存] 以儲存目標選項中所執行的變更 (包括在資料夾樹狀結構內所進行的選取) 按一下 [ 掃描] 使用您已設定的自訂參數來執行掃描 [ 以管理員身分掃描] 可讓您在管理員帳戶下執行掃描若目前的使用者權限不足無法存取要掃描的適當檔案時請按一下此選項請注意如果目前的使用者無法以管理員身分呼叫 UAC 作業則無法使用此按鈕 35

3.9.1.4.2 掃描進度掃描進度視窗顯示掃描的目前狀態以及發現包含惡意程式碼的檔案數目附註通常無法掃瞄某些檔案例如密碼保護的檔案或系統專用的檔案 (一般是 pagefile.

36 掃描進度掃描進度視窗顯示掃描的目前狀態以及發現包含惡意程式碼的檔案數目附註通常無法掃瞄某些檔案例如密碼保護的檔案或系統專用的檔案 (一般是 pagefile.s y s 及某些防護記錄檔案) 掃描進度 - 進度列可顯示已掃描物件與待掃描物件的狀態此掃描進度狀態衍生自掃描中包括的物件總數目標 - 目前掃描的物件名稱及其位置發現威脅 - 顯示掃描期間找到的威脅總數暫停 - 暫停掃描繼續 - 當掃描進度暫停時則可看見此選項按一下 [ 繼續] 以繼續掃描停止 - 終止掃描捲動掃描防護記錄 - 如果啟用掃描防護記錄將在加入新項目時自動向下捲動以顯示最新的項目 36

37 裝置控制 ESET Endpoint Antivirus 提供自動裝置 (CD/DVD/USB/...) 控制項此模組可讓您掃描封鎖或調整擴充的過濾器/ 權限以及定義使用者存取和使用指定裝置的方式若電腦管理員想要避免使用含有來路不明內容的裝置時這功能便非常實用支援的外部裝置磁碟儲存裝置 (HDD USB 卸除式磁碟) CD/DVD USB 印表機 FireWire 儲存裝置藍牙裝置智慧卡讀卡機影像裝置數據機 LPT/COM 連接埠可攜式裝置所有裝置類型選取 [ 進階設定] (F5) > [ 裝置控制] 即可修改裝置控制設定選項開啟 [ 整合至系統] 旁的切換以啟動 ESET Endpoint Antivirus 中的裝置控制功能若要使變更生效您需要重新啟動電腦在啟用裝置控制之後 [ 規則] 將會變成啟用狀態使您可以開啟規則編輯器視窗如果插入的裝置遭到現有規則封鎖將會顯示通知視窗且不授與裝置的存取權限 37

38 裝置控制規則編輯器 [ 裝置控制規則編輯器] 視窗會顯示現有規則並允許準確控制使用者連接到電腦的外部裝置根據使用者使用者群組或任何可從規則設定中指定的其他參數即可允許或封鎖特定裝置規則清單包含規則的數個說明例如名稱外部裝置類型將外部裝置連接到電腦後要執行的動作以及防護記錄嚴重性按一下 [ 新增] 或 [ 編輯] 以管理規則取消選取規則旁的 [ 已啟用] 核取方塊以將其停用直到您以後要使用時再啟用選取一或多個規則然後按一下 [ 移除] 以永久刪除規則複製 - 可使用另一個所選取規則使用的預先定義選項建立新的規則按一下 [ 填入] 可為電腦所連接的裝置自動填入可移除媒體裝置參數規則會依據優先順序列出順序較高的規則會較靠近頂端您可以按一下 [ 頂端/ 向上/ 向下/ 底端] 個別或以群組的方式移動規則裝置控制防護記錄會記錄所有裝置控制防護遭到觸發的事件在 [ 工具] > [ 防護記錄檔案] 中的 ESET Endpoint Antivirus 的主要程式視窗中您可檢視防護記錄項目 38

3.9.1.5.2 新增裝置控制規則裝置控制規則會定義符合規則條件的裝置連接到電腦時將採取的處理方法將規則說明輸入到 [ 名稱] 欄位中以便進一步識別按一下 [ 已啟用規則] 旁的切換選項可停用或啟用此規則如果您不想要永久刪除規則此選項很有用裝置類型從下拉式功能表選擇外部裝置類型 (磁碟儲存裝置/ 可攜式裝置/ 藍牙/ FireWire/.

39 新增裝置控制規則裝置控制規則會定義符合規則條件的裝置連接到電腦時將採取的處理方法將規則說明輸入到 [ 名稱] 欄位中以便進一步識別按一下 [ 已啟用規則] 旁的切換選項可停用或啟用此規則如果您不想要永久刪除規則此選項很有用裝置類型從下拉式功能表選擇外部裝置類型 (磁碟儲存裝置/ 可攜式裝置/ 藍牙/ FireWire/...) 裝置的類型資訊是從作業系統收集而來而且如果裝置連接到電腦可在系統裝置管理程式中看見裝置的類型資訊儲存裝置包括透過 USB 或 FireWire 連接的外部磁碟或常見的讀卡機智慧卡讀卡機包括各種配備內嵌積體電路之智慧卡 (如 SIM 卡或驗證卡) 的讀卡機掃描器或相機都是影像裝置因為這些裝置僅提供其行動相關的資訊且不會提供與使用者有關的資訊無法以全域方式封鎖這些裝置附註: 數據機裝置類型無法使用使用者清單功能規則將套用於所有的使用者而目前的使用者清單將會刪除處理方法可允許或封鎖對於非儲存裝置的存取另一方面儲存裝置的規則允許選取下列其中一個權限設定讀取/ 寫入 - 將允許裝置的完整存取權限封鎖 - 將封鎖裝置的存取權限唯讀 - 僅允許讀取裝置的存取權限警告 - 每次連線到一個裝置就會通知使用者是否允許存取該裝置或是要封鎖並會建立一筆記錄項目不會記取裝置針對相同裝置進行後續連線時仍會顯示通知請注意並非所有裝置類型都適用所有處理方法 (權限) 如果其類型為儲存裝置則四種處理方法都可以使用對於非儲存裝置只可使用三種處理方法 (例如 [ 唯讀] 不適用於藍牙因此只能允許封鎖或警告藍牙裝置) 標準類型- 選取 [ 裝置群組] 或 [ 裝置] 下面列出可用來微調規則並針對裝置進行調整的其他參數所有參數均區分大小寫供應商 - 依供應商名稱或 ID 進行過濾型號 - 裝置的指定名稱序號 - 外部裝置通常擁有其專屬的序號若是 CD/DVD 則是指定的媒體會有序號而非 CD 光碟機附註如果並未定義這些參數規則在比對時就會忽略這些欄位所有文字欄位中的過濾參數均不區分大小寫且不支援萬 39

40 用字元 (* 與?) 提示若要檢視關於裝置的資訊請為該類型的裝置建立規則將裝置連接到電腦然後查看裝置控制防護記錄中的裝置詳細資訊記錄嚴重性永遠 - 記錄全部的事件診斷 - 記錄微調程式時所需的資訊資訊 - 記錄資訊性訊息包含成功更新訊息及上述所有記錄警告 - 記錄嚴重錯誤及警告訊息無 - 不記錄任何防護記錄將某些使用者或使用者群組新增至 [ 使用者清單] 即可將規則限制在某些使用者或使用者群組新增 - 開啟 [ 物件類型使用者或群組] 對話方塊視窗可讓您選取所需的使用者移除 - 從過濾器移除選取的使用者附註並非所有裝置都可以使用者規則過濾 (例如影像裝置不會提供使用者相關資訊僅提供動作相關資訊) 可移除的媒體 ESET Endpoint Antivirus 提供自動可移除媒體 (CD/DVD/USB/...) 掃描此模組可讓您掃描插入的媒體若電腦管理員想要避免使用者使用含有來路不明內容的可移除媒體時這功能便非常實用插入可移除媒體之後要採取的處理方法 - 選取預設處理方法在將可移除媒體裝置插入電腦之後執行 (CD/DVD/USB) 如果選取 [ 顯示掃描選項] 則會顯示通知讓您選擇想要的處理方法不掃描 - 不執行任何處理方法且會關閉 [ 偵測到新裝置] 視窗自動裝置掃描 - 將針對已插入的可移除媒體裝置執行指定電腦掃描顯示掃描選項 - 開啟 [可移除的媒體設定] 區段插入可移除的媒體後會顯示下列對話方塊立即掃描 - 將會觸發掃描可移除的媒體稍後掃描 - 將延後掃描可移除的媒體設定 - 開啟 [進階設定] 永遠使用選取的選項 - 選取後在其他時間插入可移除媒體後會執行相同的處理方法此外 ESET Endpoint Antivirus 具備裝置控制功能能夠讓您定義在指定的電腦使用外部裝置的規則在裝置控制一節中可找到裝置控制的詳細資訊 40

41 閒置狀態掃描您可以在 [ 病毒防護] > 閒置狀態掃描> [ 基本] 下的 [ 進階設定] 中啟用閒置狀態掃描器將 [ 啟用閒置狀態掃描] 旁的切換選項設定為 [ 開啟] 以啟用此功能電腦在閒置狀態時會在所有本機磁碟機上執行無訊息電腦掃描請參閱閒置狀態偵測觸發取得觸發閒置狀態掃描器所必須符合的完整條件清單依預設當電腦 (筆記型電腦) 使用電池的電源時閒置狀態掃描器不會執行您可以在 [進階] 設定中啟動 [ 即使電腦電源來自電池仍然要執行] 旁的切換選項以覆寫此設定在 [進階] 設定中開啟 [ 啟用記錄] 即可在防護記錄檔案區段中記錄電腦掃描輸出 (在主要程式視窗中按一下 [ 工具] > [ 防護記錄檔案] 並從 [ 防護記錄] 下拉式功能表中選擇 [ 電腦掃描] ) 閒置狀態偵測將在您的電腦處於以下狀態時時執行: 關閉螢幕或螢幕保護程式電腦鎖定使用者登出按一下 ThreatSense 引擎參數設定來為閒置狀態掃描修改掃描參數 (例如偵測方法) 主機入侵預防系統 (H I PS) 若要變更 HIPS 設定僅能由有經驗的使用者執行未正確配置的 HIPS 設定可能導致系統不穩定主機入侵預防系統 (HIPS) 能保護您的系統抵抗惡意軟體以及任何嘗試對電腦產生不良影響的不必要活動 HIPS 利用進階行為分析再加上網路過濾的偵測能力可監視執行中的程序檔案及登錄機碼 HIPS 與即時檔案系統防護各自獨立且不是防火牆它只會監視在作業系統內執行的處理程序按一下 [ 進階設定] (F5) > [ 病毒防護] > [ HIP S ] > [ 基本] 便可找到 HIPS 設定 HIPS 狀態 (啟用/ 停用) 顯示在 [ 設定] > [ 電腦] 中的 ESET Endpoint Antivirus 主要程式視窗 ESET Endpoint Antivirus 使用內建的 [自我保護] 技術可防止惡意軟體損毀或停用您的病毒及間諜程式防護因此能確定系統隨時受到保護需要重新啟動 Windows 才能停用 HIPS 或 [自我保護] 41

[ 進階記憶體掃描器] 可與惡意探索封鎖程式一起搭配強化對抗惡意軟體在整個利用欺騙及/ 或加密時對惡意軟體防護產品所啟用偵測功能的規避動作進階記憶體掃描器依預設已啟用請在字彙中閱讀更多有關此類型防護的資訊惡意探索封鎖程式是設計用來強化常遭利用的應用程式類型的防護例如 Web 瀏覽器 PDF 閱讀器郵件用戶端和 MS Office 元件惡意探索封鎖程式依預設已啟用

42 [ 進階記憶體掃描器] 可與惡意探索封鎖程式一起搭配強化對抗惡意軟體在整個利用欺騙及/ 或加密時對惡意軟體防護產品所啟用偵測功能的規避動作進階記憶體掃描器依預設已啟用請在字彙中閱讀更多有關此類型防護的資訊惡意探索封鎖程式是設計用來強化常遭利用的應用程式類型的防護例如 Web 瀏覽器 PDF 閱讀器郵件用戶端和 MS Office 元件惡意探索封鎖程式依預設已啟用請在字彙中閱讀更多有關此類型防護的資訊過濾可使用以下四種模式其中之一執行自動模式 - 系統會啟用作業但受到保護系統的預先定義規則封鎖的作業除外互動模式 - 系統將提示使用者確認作業原則型模式 - 系統會封鎖作業學習模式 - 系統會啟用作業且每次作業後會建立規則以此模式建立的規則可在 [規則編輯器] 中檢視但與手動建立的規則或自動模式下建立的規則相較之下其優先順序較低當您從 [HIPS 過濾模式] 下拉式功能表選取 [學習模式] 即可使用 [ 學習模式將在下列情況結束] 設定選取您要啟用學習模式的持續時間最長為 14 天過了指定的持續時間之後會提示您在學習模式中編輯 HIPS 建立的規則您可以選擇不同的過濾模式或者延後決定並持續使用學習模式智慧型模式 - 僅會通知使用者關於非常可疑的事件 HIPS 系統監控作業系統中的事件並根據類似個人防火牆規則的規則執行反應動作按一下 [ 編輯] 開啟 HIPS 規則管理視窗在此您可以選取建立編輯或刪除規則在下列範例中我們將說明如何限制應用程式發生不想要的行為 1. 命名規則並選取 [ 處理方法] 下拉式功能表中的 [ 封鎖] 2. 啟用 [ 通知使用者] 切換選項以在每次套用規則時顯示通知 3. 請至少選取一個要套用規則的作業在 [ 來源應用程式] 視窗中從下拉式功能表選取 [ 所有應用程式] 將您的新規則套用至所有嘗試在您指定的應用程式上執行任何已選取應用程式作業的應用程式 4. 選取 [ 修改另一個應用程式的狀態] (產品說明中會有所有作業的說明按下 F1 鍵即可顯示). 5. 從下拉式功能表中選取 [ 特定應用程式] 並 [ 新增] 一個或多個您要保護的應用程式 6. 按一下 [ 完成] 以儲存您的新規則 42

43 進階設定以下選項可用於除錯及分析應用程式的行為一律允許載入驅動程式 - 除非使用者規則明確封鎖否則一律允許載入選取的驅動程式無論配置的過濾模式為何記錄所有封鎖的作業 - 所有封鎖的作業將寫入至 HIPS 防護記錄當啟動應用程式發生變更時通知 - 每次在系統啟動中新增或移除應用程式時便會顯示桌面通知請參閱我們的知識庫文章以取得此說明頁面的更新版本 H I PS 互動視窗若規則的預設處理方法已設定為 [ 詢問] 每次觸發規則時都會出現對話方塊視窗您可以選擇 [ 拒絕] 或 [ 允許] 作業如果您不在指定時間內選擇處理方法則會根據規則選取新處理方法對話視窗可讓您根據 HIPS 偵測的任何新處理方法來建立規則然後定義允許或拒絕該處理方法所依據的條件按一下 [ 更多資訊] 可存取確實的參數設定系統認定使用此方法建立的規則等於手動建立的規則因此由對話視窗建立的規則無需像觸發該對話視窗的規則那般明確這表示建立此類規則後同樣的作業可以觸發相同的視窗 [ 暫時記住此程序的這個處理方法] 會造成使用處理方法 ([ 允許/ 拒絕] ) 直到規則或過濾模式變更 HIPS 模組更新或系統重新啟動為止在進行上述三個處理方法的任何之一後則會刪除暫時的規則簡報模式簡報模式是一項專為要求可不間斷地使用軟體不想受到快顯視窗打擾而且想要將用量減到最少的 CPU 使用者所設計的功能簡報模式也可在簡報期間使用在此期間中病毒活動無法干擾簡報啟用時將會停用所有快顯視窗也不會執行已排程的工作然而系統保護功能仍會在背景執行不需要和使用者互動按一下 [ 設定] > [ 電腦] 然後按一下 [ 簡報模式] 旁的切換以手動啟用簡報模式在 [ 進階設定] (F5) 中按一下 [ 工具] > [ 簡報模式] 然後按一下 [ 以全螢幕模式執行應用程式時自動啟用簡報模式] 旁的切換選項以在全螢幕模式執行應用程式時讓 ESET Endpoint Antivirus 自動啟用簡報模式啟用簡報模式有潛在的安全性風險所以工作列上的防護狀態圖示會變成橙色並顯示警告您也會在主要程式視窗中看見這個警告 [ 簡報模式已啟用] 則以橙色顯示當 [ 以全螢幕模式執行應用程式時自動啟用簡報模式] [已啟用] 只要您啟動全螢幕應用程式簡報模式就會啟動並在您結束應用程式之後自動停止這對於在啟動遊戲開啟全螢幕應用程式或開始簡報之後立即啟動簡報模式來說特別有用您也能選取 [ 自動停用簡報模式於] 以定義一段時間 (分鐘) 簡報模式會在這段時間過後自動停用 43

44 啟動掃描依預設在系統啟動和病毒資料庫更新時將執行啟動檔案自動檢查這項掃描取決於排程器配置及工作啟動掃描選項是 [ 系統啟動檔案檢查] 排程器工作的一部分若要修改啟動掃描設定請瀏覽至 [ 工具] > [ 排程器] 並且按一下 [ 啟動檔案自動檢查] 及 [ 編輯... ] 在最後一個步驟中 [啟動檔案自動檢查] 視窗將出現 (請參閱下一章以取得詳細資訊) 如需排程器工作建立及管理的詳細指示請參閱建立新工作啟動檔案自動檢查建立系統啟動檔案檢查排程工作時有數個選項可供您調整下列參數 [ 一般使用的檔案] 下拉式功能表根據精密的演算法指定系統啟動時檔案的掃描深度系統會根據下列條件依遞減順序排列檔案所有登錄的檔案 (掃描的檔案最多) 很少使用的檔案一般使用的檔案經常使用的檔案僅最常使用的檔案 (掃描的檔案最少) 此外也包含兩個特定的群組使用者登入前執行的檔案 - 包含在使用者不用登入即可存取之位置中的檔案 (包含幾乎所有的啟動位置例如服務瀏覽器 Helper 物件 Winlogon 通知 Windows 排程器項目已知 DLL 等) 使用者登入後執行的檔案 - 包含在只有使用者登入後才能存取之位置中的檔案 (包含僅針對特定使用者執行的檔案一般是 HK E Y _ CURRE NT_ US E R\S O FTW A RE \M ic ros oft\w indows \CurrentV ers ion\run 中的檔案) 每個上述群組的待掃描檔案清單是固定的掃描優先順序 - 用於決定何時開始掃描的優先順序層級閒置時 - 只有在系統閒置時才會執行工作最低 - 系統負載可能最低時較低 - 低系統負載正常 - 平均系統負載文件防護文件防護功能可在 Microsoft Office 文件開啟前先行掃描文件以及掃描 Internet Explorer 自動下載的檔案 (如 Microsoft ActiveX 元素) 文件防護在即時檔案系統防護之外再提供一層防護若停用可增強無須處理大量 Microsoft Office 文件的系統效能 [ 整合至系統] 可啟動防護系統若要修改此選項請按 F5 開啟 [進階設定] 視窗然後從 [進階設定] 樹狀目錄中按一下 [ 病毒防護] > [ 文件防護] 使用 Microsoft Antivirus API 的應用程式 (如 Microsoft Office 2000 與更新版本或 Microsoft Internet Explorer 5.0 與更新版本) 可啟動此功能 44

45 排除 [排除] 可讓您從掃描中排除檔案及資料夾為確保所有物件已掃描是否存在威脅我們建議您只有在絕對必要時建立排除在某些情況下您可能需要排除某些大型資料庫項目在掃描期間或是軟體與掃描衝突時可能會降低電腦速度的物件例如備份軟體若要從掃描中排除物件 1. 按一下 [ 新增]? 2. 輸入物件的路徑或在樹狀結構中進行選取您可以使用萬用字元來涵蓋一組檔案問號 (?) 代表一個變數字元而星號 (*) 代表含有零或多個字元的變數字串範例如果您想要排除資料夾中的所有檔案請輸入資料夾的路徑並使用遮罩 *. * 若要排除包含所有檔案與子資料夾的整個磁碟機請使用遮罩 D:\* 如果您只想要排除 doc 檔案請使用遮罩 *. doc 如果執行檔的名稱具有特定數目的字元 (且字元不同) 但您只確切瞭解第一個字元 (例如 D) 請使用下列格式 D????.exe 問號取代遺漏 (未知) 字元附註如果檔案符合條件排除掃描的條件即時檔案系統防護模組或電腦掃描模組便無法偵測到該檔案內的威脅直欄路徑 - 排除檔案及資料夾的路徑 [ 威脅] - 如果排除檔案旁顯示出有威脅的名稱則代表該檔案只是因為指定威脅而排除如果該檔案在稍後被其他惡意軟體感染則防毒模組仍會偵測到它此類排除僅適用於特定類型的入侵並可在報告入侵的威脅警告視窗 (按一下 [ 顯示進階選項] 然後選取 [ 從偵測中排除] ) 中建立或按一下 [ 工具] > [ 隔離區] 用右鍵按一下隔離檔案然後選取內容功能表中的 [ 還原並從偵測中排除] 控制項元素新增 - 從偵測中排除物件編輯 - 可讓您編輯已選取的項目移除 - 移除已選取的項目 45

46 T hreatsense 引擎參數設定 ThreatSense 是由許多複雜威脅偵測方法組成之技術此技術是主動式的也就是說該技術也可在新威脅擴散初期提供防護其使用代碼分析代碼模擬一般資料庫和病毒資料庫的組合共同合作以大幅增強系統安全性掃描引擎可以同時控制數個資料串流以最大化效能及偵測率 ThreatSense 技術還可以順利消除 rootkit ThreatSense 引擎設定選項可讓您指定數個掃描參數要掃描的檔案類型及副檔名各種偵測方法的組合清除層級等若要進入設定視窗請按一下任何使用 ThreatSense 技術之模組 [進階設定] 視窗中的 [ Threat S ens e 引擎參數設定] (如下所示) 不同的安全情況可能需要不同的設定瞭解這一點之後就可針對下列防護模組分別進行 ThreatSense 配置即時檔案系統防護閒置狀態掃描啟動掃描文件防護電子郵件用戶端防護 Web 存取防護電腦掃描每個模組的 ThreatSense 參數都已高度最佳化其修改對系統作業有很大影響例如將參數變更為一律掃描運行時間壓縮器或在即時檔案系統防護模組中啟用進階啟發式可能會導致系統速度減慢 (通常使用這些方法僅掃描新建立的檔案) 除了電腦掃描之外我們建議您不要變更任何模組的預設 ThreatSense 參數要掃描的物件此區段可讓您定義要掃描是否有入侵的電腦元件及檔案 [ 作業記憶體] - 掃描攻擊系統作業記憶體的威脅開機磁區 - 掃描開機磁區的主要開機記錄中是否有病毒電子郵件檔案 - 程式支援下列副檔名 DBX (Outlook Express) 及 EML 壓縮檔 - 程式支援下列副檔名 ARJ BZ2 CAB CHM DBX GZIP ISO/BIN/NRG LHA MIME NSIS RAR SIS TAR TNEF UUE WISE ZIP ACE 及許多其他副檔名自解壓縮檔 - 自我解壓檔 (SFX) 是不需要特定程式 (壓縮程式) 即可自行解壓縮的壓縮檔加殼技術虛擬機偵測 - 執行之後加殼技術虛擬機偵測 (不同於標準壓縮檔類型) 會在記憶體中解壓縮除了標準靜態壓縮器 (UPX yoda ASPack FSG 等) 掃描器還能透過使用代碼模擬辨識幾種其他類型的壓縮器掃描選項選取在掃描系統是否有入侵時使用的方法可用選項如下啟發式 - 啟發式是分析程式 (惡意) 活動的演算法這項技術的主要優點是可以識別不存在或先前病毒資料庫不瞭解的惡意軟體缺點是有錯誤警示的可能性 (很小) 進階啟發式/ DNA / 智慧型簽章 - 進階啟發式是由 ESET 開發的獨特啟發式演算法所組成經過最佳化以偵測電腦蠕蟲及特洛伊木馬程式並以高階程式設計語言撰寫使用進階啟發式能大幅提高 ESET 產品的威脅偵測功能簽章可以可靠地偵測及識別病毒採用自動更新系統發現威脅數個小時之後便有可用的新病毒碼病毒碼的缺點是僅偵測瞭解的病毒 (或這些病毒略微修改的版本) 潛在不需要應用程式是含有廣告軟體安裝工具列或具有其他不明企圖的程式在某些情況下使用者可能會認為潛在不需要應用程式的優點大於風險因此相較於其他例如特洛伊木馬或蠕蟲惡意軟體的類型 ESET 將此類應用程式指定為低風險的類別警告發現潛在的威脅偵測到潛在不需要應用程式時您可以決定要採取的處理方法 46

47 1. 清除/ 中斷連線此選項結束動作並且防止潛在的威脅進入系統 2. 不進行處理此選項會允許潛在威脅進入您的系統 3. 若要讓應用程式以後在電腦上不中斷地執行請按一下 [ 更多資訊/ 顯示進階選項] 然後選取 [ 從偵測中排除] 旁的核取方塊偵測到潛在不需要應用程式且無法清除時 [ 位址已被封鎖] 通知視窗會在畫面右下角顯示如需這個事件的詳細資訊請從主要功能表瀏覽至 [ 工具] > [ 防護記錄檔案] > [ 已過濾的網站] 潛在不需要應用程式 -設定安裝您的 ESET 產品時可以決定是否要啟用不需要應用程式的偵測如下所示潛在不需要應用程式可能會安裝廣告軟體工具列或者具有其他不安全和不需要的程式功能您隨時可以在程式設定裡修改這些設定若要啟用或停用潛在不需要不安全或可疑應用程式的偵測請遵循下列指示 47

48 1. 開啟您的 ESET 產品如何開啟我的 ESET 產品 2. 按 F5 鍵以存取 [ 進階設定] 3. 按一下 [ 防毒] 根據您的喜好啟用或停用 [ 啟用潛在不需要應用程式偵測]? [ 啟用潛在不安全應用程式偵測] 和 [ 啟用可疑應用程式偵測] 選項按一下 [ 確定] 以確認潛在不需要應用程式 -軟體包裝函式軟體包裝函式是檔案裝載網站使用的一種特殊應用程式修改類型其為第三方工具會安裝您要下載的程式但也會新增其他軟體例如工具列或廣告軟體這些其他軟體可能會變更您網頁瀏覽器的首頁和搜尋設定除此之外檔案裝載網站通常不會通知軟體廠商或接收下載的用戶其已經執行修且不會輕易允許取消修因為上述原因 ESET 將軟體包裝函式分類為一種潛在不需要應用程式讓使用者選擇接受或不接受下載請參閱這份 ESET 知識庫文章以取得此說明頁面的更新版本 [ 潛在不安全的應用程式] - [潛在不安全的應用程式] 是用於商業合法程式的分類例如遠端存取工具密碼破解應用程式及鍵盤記錄程式 (記錄每次使用者按鍵的程式) 依預設會停用此選項清除清除設定會決定在掃描器清除受感染檔案期間的行為有 3 個清除層級不清除 - 不會自動清除受感染的檔案程式會顯示警告視窗並允許使用者選擇處理方法此層級針對進階使用者而設計進階使用者瞭解出現入侵時需採取哪些步驟正常清除 - 程式會根據預先定義的處理方法 (視入侵的類型而定) 嘗試自動清除或刪除受感染檔案畫面右下角會顯示通知表示受感染檔案的偵測及刪除如果無法自動選取正確的處理方法則程式會提供其他的後續處理方法無法完成預先定義的處理方法時程式也會提供後續處理方法的選項完全清除 - 程式會清除或刪除所有受感染檔案只有系統檔案例外如果無法清除受感染的檔案則系統會提示使用者在警告視窗中選取一個處理方法警告如果壓縮檔包含受感染的檔案則您可以選用兩個選項來處理壓縮檔在標準模式 (標準清除) 中如果壓縮檔內所有檔案均受感染則刪除整個壓縮檔在 [ 完全清除] 模式中當壓縮檔內含有至少一個受感染的檔案時即會刪除壓縮檔無論壓縮檔中其他檔案的狀態為何 48

49 排除副檔名是檔案名稱中以句點隔開的部份副檔名定義檔案的類型及內容 ThreatSense 參數設定的此區段可讓您定義要掃描的檔案類型其他配置 [指定電腦掃描] 的 ThreatSense 引擎參數設定時 [ 其他] 區段也有以下可用選項掃描替代資料串流 (A DS ) NTFS 檔案系統使用的替代資料串流是使用一般掃描技術無法看到的檔案及資料夾關聯許多入侵會透過將自己偽裝為替代資料串流來嘗試躲避偵測以低優先順序執行背景掃描 - 每個掃描序列都會消耗大量的系統資源如果處理的程式佔有大量的系統資源則可以啟動低優先順序背景掃描從而節省應用程式的資源記錄所有物件 - 如果已選取此選項則防護記錄檔案會顯示所有已掃描的檔案 (包括未受感染的檔案) 例如如果壓縮檔內發現入侵防護記錄將同時清除壓縮檔內的其他檔案啟用智慧型最佳化 - 啟用智慧型最佳化時會使用最佳設定以確保最有效率的掃描層級同時維持最快的掃描速度各種防護模組都會聰明地掃描利用不同的掃描方式並將其套用至特定的檔案類型如果停用智慧型最佳化則當執行掃描時只會套用特定模組的 ThreatSense 核心中使用者定義的設定保存最後一次的存取時間郵戳 - 選取此選項以保留掃描檔案的原始存取時間而不會更新該時間 (例如以用於資料備份系統) 限制 [限制] 區段可讓您指定物件的大小上限以及要掃描的巢狀保存檔層級物件設定物件大小上限 - 定義要掃描的物件大小上限然後指定的防毒模組只會掃描小於所指定大小的物件只有進階使用者基於特定的理由才應變更此選項來排除掃描較大物件預設值無限制物件的掃描時間上限 (秒) - 定義掃描物件的時間值上限如果已在這裡輸入使用者定義的值則當該時間到期防毒模組會停止掃描物件無論掃描是否完成預設值無限制壓縮檔掃描設定壓縮檔巢狀層級 - 指定壓縮檔掃描的深度上限預設值 10. 壓縮檔中檔案的大小上限 - 此選項可讓您指定要掃描的壓縮保存檔中所包含檔案的大小上限 (解壓縮時) 預設值無限制附註我們不建議變更預設值在正常情況下應該沒有要修改的理由排除副檔名是檔案名稱中以句點隔開的部份副檔名定義檔案的類型及內容 ThreatSense 參數設定的此區段可讓您定義要掃描的檔案類型依預設會掃描所有檔案可以將任何副檔名新增至從掃描中排除的檔案清單如果掃描某些檔案類型會造成使用副檔名的程式無法正常執行有時必須排除這種檔案不予掃描例如使用 Microsoft Exchange 伺服器時可能建議排除. edb. eml 及. tmp 等副檔名使用 [ 新增] 及 [ 移除] 按鈕您可以允許或禁止指定檔案副檔名的掃描若要將新的副檔名新增至清單請按一下 [ 新增] 在空白欄位輸入副檔名並按一下 [ 確定] 當您選取 [ 輸入多個值] 時您可新增多個以行逗號或分號分隔的檔案副檔名當您啟用多個選項時副檔名將於清單中顯示選取清單中的副檔名並按一下 [ 移除] 以從清單中刪除副檔名若您想要編輯已選取的副檔名請按一下 [ 編輯] 特殊符號? (問號) 問號代表任何字符附註: 若要在 Windows 作業系統內顯示所有檔案的副檔名 (檔案類型) 請取消選取 [ 控制台] > [ 資料夾選項] > [ 檢視] 下的 [ 隱藏已知檔案類型的副檔名] 49

3.9.2 Web 和電子郵件您可以在 [ 設定] > [ Web 和電子郵件] 中找到 Web 和電子郵件配置您可以在這裡存取更詳細的程式設定網際網路連線是個人電腦中的標準功能不幸的是它也成為傳輸惡意程式碼的主要媒介因為如此您必須審慎考量您的 Web 存取防護電子郵件用戶端防護可控制透過 POP3 和 IMAP 通訊協定收到的電子郵件通訊使用電子郵件用戶端的外掛程式 ESET

50 3.9.2 Web 和電子郵件您可以在 [ 設定] > [ Web 和電子郵件] 中找到 Web 和電子郵件配置您可以在這裡存取更詳細的程式設定網際網路連線是個人電腦中的標準功能不幸的是它也成為傳輸惡意程式碼的主要媒介因為如此您必須審慎考量您的 Web 存取防護電子郵件用戶端防護可控制透過 POP3 和 IMAP 通訊協定收到的電子郵件通訊使用電子郵件用戶端的外掛程式 ESET Endpoint Antivirus 可控制來自電子郵件用戶端的所有通訊 (POP3 IMAP HTTP MAPI) 網路釣魚防護是另一個保護層級對於嘗試取得您密碼和其他敏感資料的非法網站可增加防護您可以在 [ Web 和電子郵件] 下的 [ 設定] 窗格中找到網路釣魚防護請參閱網路釣魚防護以取得詳細資訊停用 - 按一下選項以解除 Web 瀏覽器與電子郵件用戶端的 Web/電子郵件防護通訊協定過濾應用程式通訊協定的病毒防護由 ThreatSense 掃描引擎控制該引擎可密切地整合所有進階惡意程式掃描技術無論是使用網際網路瀏覽器或電子郵件用戶端通訊協定過濾都會自動運作想編輯加密 (SSL) 設定請移至 [ Web 和電子郵件] > [ S S L] 啟用應用程式通訊協定內容過濾 - 可用於停用通訊協定過濾請注意許多 ESET Endpoint Antivirus 元件 (Web 存取防護電子郵件通訊協定防護網路釣魚防護 Web 控制) 必須啟用此選項才能正常運作排除的應用程式 - 允許您從通訊協定過濾排除特定的應用程式對於通訊協定過濾導致相容性問題時很有幫助排除的 IP 位址 - 允許您從通訊協定過濾排除特定的遠端位址對於通訊協定過濾導致相容性問題時很有幫助 Web 和電子郵件用戶端 - 只適用於 Windows XP 作業系統可讓您選取所有流量皆經過通訊協定過濾的應用程式無論使用何種連接埠 50

51 Web 和電子郵件用戶端附註從 Windows Vista Service Pack 1 與 Windows Server 2008 起新的 Windows 過濾平台 (WFP) 架構就被用來檢查網路通訊由於 WFP 技術使用特殊監視技術因此無法使用 [ Web 和電子郵件用戶端] 區段由於在網際網路周圍散佈著大量的惡意代碼因此能安全地瀏覽網際網路是電腦防護非常重要的面向網路瀏覽器的弱點和詐騙連結會幫助惡意代碼在不被察覺的情況下進入系統這也就是 ESET Endpoint Antivirus 著重在網路瀏覽器安全性的原因之一每個存取網路的應用程式都可以標記為網際網路瀏覽器您能夠在 Web 和電子郵件用戶端的清單中輸入已使用通訊協定進行通訊的應用程式或是來自已選取路徑的應用程式排除的應用程式若要將特定的網路識別應用程式排除在通訊協定過濾之外請在清單中新增這些應用程式屆時將不會針對所選應用程式的 HTTP/POP3/IMAP 通訊檢查是否存在威脅我們建議您只在通訊協定過濾已啟用但應用程式未正確運作時使用這項技術已經受通訊協定過濾影響的應用程式和服務將在您按一下 [ 新增] 後自動顯示編輯 - 從清單中編輯選取的項目移除 - 從清單中移除選取的項目 51

52 排除的 I P 位址在清單中的 IP 位址將排除於通訊協定內容過濾之外屆時將不會針對所選位址的 HTTP/POP3/IMAP 往來通訊檢查是否存在威脅我們建議只將此選項用於已知值得信賴的位址新增 - 按一下以新增要套用規則的遠端位置 IP 位址/ 位址範圍/ 子網路編輯 - 從清單中編輯選取的項目移除 - 從清單中移除選取的項目 SSL /T L S ESET Endpoint Antivirus 能檢查使用 SSL 通訊協定的通訊中是否存在威脅對於使用信任的憑證未知憑證或排除在 SSL 防護通訊檢查之外的憑證進行的 SSL 防護通訊您可以運用各種掃描模式來檢查啟用 S S L/ TLS 通訊協定過濾 - 若停用通訊協定過濾將不會掃描使用 SSL 的通訊 S S L/ TLS 通訊協定過濾模式可選擇下列選項自動模式 - 選取此選項可掃描所有 SSL 防護通訊但不包括排除在檢查之外的憑證所防護的通訊如果使用未知的已簽署憑證建立新通訊則不會通知您出現此情況而且將自動過濾通訊存取含有標記為信任的不信任憑證 (在信任憑證清單中) 在其中的伺服器時將允許對於伺服器的通訊並且將過濾通訊通道的內容互動模式 - 如果您輸入新的 SSL 防護網站 (含有未知憑證) 則會顯示處理方式選取項目對話方塊此模式可讓您建立將排除在掃描之外的 SSL 憑證列在其中的清單封鎖利用過時通訊協定 S S L 第 2 版的加密通訊 - 自動封鎖使用舊版 SSL 通訊協定的通訊系統管理員的憑證系統管理員憑證 - 為了使 SSL 通訊能在瀏覽器/ 電子郵件用戶端中正常運作您需要將 ESET 的系統管理員憑證新增至已知系統管理員憑證 (發行者) 的清單中應該啟用 [ 將系統管理員的憑證新增至已知瀏覽器] 選取此選項可自動將 ESET 根憑證新增至已知瀏覽器中 (例如 Opera 和 Firefox) 對於使用系統憑證儲存區的瀏覽器來說憑證會自動新增 (例如 Internet Explorer) 若要將憑證套用至不支援的瀏覽器請按一下 [ 檢視憑證] > [ 詳情] > [ 複製到檔案... ] 再手動匯入至瀏覽器憑證有效性如果使用 TRCA 憑證儲存區無法驗證憑證 - 在某些情況下無法使用信任的根憑證授權 (TRCA) 儲存區驗證網站 52

53 憑證這表示憑證已由他人 (例如 Web 伺服器或小型企業的管理員) 簽署因此將此憑證視為受信任憑證的風險不大大型企業 (例如銀行) 大多使用 TRCA 簽署的憑證如果設定 [ 詢問憑證有效性] (預設選取) 系統就會提示使用者選取在建立加密通訊時要採取的處理方法您可選取 [ 封鎖使用憑證的通訊] 一律終止與使用未驗證憑證的網站之間的加密連線如果憑證無效或損毀 - 這表示憑證已到期或簽署方式不正確在此情況下我們建議維持選取 [ 封鎖使用憑證的通訊] [ 已知的憑證清單] 可讓您為特定的 SSL 憑證自訂 ESET Endpoint Antivirus 行為加密的 SSL 通訊若您的系統已配置使用 SSL 通訊協定掃描用來提示您選擇處理方法的對話方塊視窗將在兩種情況下顯示首先當網站使用未通過驗證或無效的憑證且 ESET Endpoint Antivirus 已配置為在該情況下詢問使用者 (依預設未通過驗證者為是無有效憑證者為否) 這時會出現對話方塊詢問您要 [ 允許] 或 [ 封鎖] 該連線並且如果 [ S S L 通訊協定過濾模式] 已設定成 [ 互動模式] 這時每個網站的對話方塊會詢問是否要 [ 掃描] 或 [ 略過] 流量某些應用程式會驗證其 SSL 流量是否未經任何使用者修改或檢查在這種情況下 ESET Endpoint Antivirus 必須 [ 略過] 該流量以繼續讓應用程式運作在這兩種情況下使用者可以選擇記住選取的處理方法儲存的處理方法會存放在已知的憑證清單已知的憑證清單 [ 已知的憑證清單] 可用於為特定的 SSL 憑證自訂 ESET Endpoint Antivirus 行為且若在 [ S S L/ TLS 通訊協定過濾模式] 中選取 [ 互動模式] 則可記住選擇的處理方法您可於[ 進階設定] (F5) > [ Web 和電子郵件] > [ S S L/ TLS ] > [ 已知的憑證清單] 中檢視與編輯清單 [ 已知的憑證清單] 視窗包含直欄名稱 - 憑證名稱憑證發行者 - 憑證建立者名稱憑證主旨 - 主旨欄位可識別與主旨公用金鑰欄位中所儲存公用金鑰相關聯的實體存取 - 選取作為 [ 存取處理方法] 的 [ 允許] 或 [ 封鎖] 以允許/ 封鎖憑證認為安全的通訊無論憑證的可信任度為何選取 [ 自動] 以允許信任的憑證並要求不信任的憑證選取 [ 詢問] 以一律詢問使用者處理方法掃描 - 選取作為 [ 掃描處理方法] 的 [ 掃描] 或 [ 略過] 以掃描或忽略此憑證認為安全的通訊選取 [ 自動] 以於自動模式中掃描並於互動模式中詢問選取 [ 詢問] 以一律詢問使用者處理方法控制項元素新增 - 可手動將憑證載入為副檔名為.c er?.c rt 或.pem 的檔案按一下 [ 檔案] 上傳本機憑證或按一下 [ URL] 線上指定憑證位置編輯 - 選取您想配置的憑證並按一下 [ 編輯] 移除 - 選取您想刪除的憑證並按一下 [ 移除] 確定/ 取消 - 若您想儲存變更請按一下 [ 確定] 或按一下 [ 取消] 離開而不儲存 53

54 電子郵件用戶端防護電子郵件用戶端 ESET Endpoint Antivirus 與電子郵件用戶端的整合會針對電子郵件訊息中的惡意代碼增加作用中的防護層級如果您的電子郵件用戶端受支援即可在 ESET Endpoint Antivirus 中啟用此整合如果啟用整合 ESET Endpoint Antivirus 工具列會直接插入電子郵件用戶端 (不插入較新版的 Windows Live Mail 工具列) 以便更有效進行電子郵件防護整合設定位於 [ 設定] > [ 進階設定] > [ Web 和電子郵件] > [ 電子郵件用戶端防護] > [ 電子郵件用戶端] 下方電子郵件用戶端整合目前支援的電子郵件用戶端包括 Microsoft Outlook Outlook Express Windows Mail 和 Windows Live Mail 電子郵件防護是以外掛程式的形式在這些程式中運作外掛程式的主要優勢為其獨立於所使用的通訊協定當電子郵件用戶端接收到加密的郵件它會將其解密並傳送到病毒掃描器如需支援的電子郵件用戶端及其版本清單請參閱以下 ESET 資料庫文章即使未啟用整合電子郵件通訊仍會受到電子郵件用戶端防護模組 (POP3 IMAP) 保護如果在處理電子郵件用戶端 (僅限 MS Outlook) 時發生系統速度減慢請開啟 [ 停用收件匣內容變更檢查] 當從 Kerio Outlook Connector Store 擷取電子郵件時會發生這種狀況要掃描的電郵透過用戶端外掛程式啟用電子郵件用戶端防護 - 停用透過電子郵件用戶端的電子郵件用戶端防護時透過通訊協定過濾查看電子郵件用戶端仍會啟用已接收電子郵件 - 可切換接收郵件的檢查已傳送電子郵件 - 可切換傳送郵件的檢查已閱讀的電子郵件 - 可切換讀取郵件的檢查針對受感染電子郵件執行的處理方法不進行處理 - 如果啟用則程式會識別受感染附件但不會對電子郵件採取任何處理方法刪除電子郵件 - 程式會通知使用者有關入侵的資訊並刪除該訊息將受感染電子郵件移到刪除的郵件資料夾 - 自動將受感染電子郵件移至 [刪除的郵件] 資料夾將受感染電子郵件移到資料夾 - 自動將受感染電子郵件移至指定的資料夾資料夾 - 指定偵測到受感染電子郵件時要將其移到哪個自訂資料夾更新後重複掃描 - 可切換為在病毒資料庫更新後重新掃描接受其他模組的掃描結果 - 如果選取此選項則電子郵件防護模組會接受其他防護模組 (POP3 IMAP 通訊協定掃描) 的掃描結果附註: 我們建議您啟用透過用戶端外掛程式啟用電子郵件用戶端防護和透過通訊協定啟用電子郵件防護選項電子郵件通訊協定在電子郵件用戶端應用程式中 IMAP 和 POP3 通訊協定是接收電子郵件通訊使用最廣泛的通訊協定無論使用的電子郵件用戶端為何 ESET Endpoint Antivirus 均可防護這些通訊協定而無須重新配置電子郵件用戶端您可以在 [進階] 設定中配置 IMAP/IMAPS 和 POP3/POP3S 通訊協定檢查若要存取此設定請展開 [ Web 和電子郵件] > [ 電子郵件用戶端防護] > [ 電子郵件通訊協定] 啟用電子郵件通訊協定防護 - 允許檢查電子郵件通訊協定在 Windows Vista 和更新版所有連接埠會自動偵測並掃描 IMAP 和 POP3 通訊協定在 Windows XP 中只會針對所有應用程式掃描已配置的 IMA P / P OP 3 通訊協定所使用的連接埠並且會針對標記為 Web 和電子郵件用戶端的應用程式掃描所有連接埠 ESET Endpoint Antivirus 也支援掃描 IMAPS 和 POP3S 通訊協定其使用加密的通道以在伺服器與用戶端間傳輸資訊 ESET Endpoint Antivirus 會檢查利用 SSL (安全通訊端層) 與 TLS (傳輸層安全性) 通訊協定的通訊此程式將只掃描 IMA P S / P OP 3S 通訊協定使用的連接埠中定義的連接埠之流量無論其作業系統的版本為何當使用預設值時則不掃描加密通訊若要啟用加密通訊的掃描請瀏覽至 [進階設定] 區段中的 [SSL/TLS] 接著按一下 [ Web 和電子郵件] > [ S S L/ TLS ] 然後選取 [ 啟用 S S L/ TLS 通訊協定過濾] 54

55 警告及通知電子郵件防護可控制透過 POP3 及 IMAP 通訊協定收到的電子郵件通訊使用 Microsoft Outlook 及其他電子郵件用戶端的外掛程式 ESET Endpoint Antivirus 可控制來自電子郵件用戶端的所有通訊 (POP3 MAPI IMAP HTTP) 當檢查對內的郵件時程式會使用包含在 ThreatSense 掃描引擎中的所有進階掃描方法這表示即使針對病毒資料庫進行比較之前也會發生惡意程式的偵測 POP3 及 IMAP 通訊協定的掃描獨立於所使用的電子郵件用戶端在 [ Web 和電子郵件] > [ 電子郵件用戶端防護] > [ 警告及通知] 下的 [ 進階設定] 可找到此功能的選項 Threat S ens e 引擎參數設定 - 進階病毒掃描器設定可讓您配置掃描目標偵測方法等按一下以顯示詳細的病毒掃描器設定視窗檢查電子郵件之後帶有掃描結果的通知會附加到訊息您可以選取 [ 將標籤訊息附加到已接收並已閱讀的郵件] [ 將附註附加到已接收已閱讀且受感染電子郵件的主旨] 或 [ 將標籤訊息附加到已傳送的郵件] 請注意雖然這些情況不常發生但是標籤訊息有可能會在有問題 HTML 訊息中省略或訊息由惡意程式所產生標籤訊息可以新增至已接收及已讀取的電子郵件或已傳送的電子郵件 (或兩者) 可用的選項是絕不 - 不會新增任何標籤訊息僅針對受感染電子郵件 - 只有包含惡意軟體的訊息才會標示為已勾選 (預設值) 針對所有已掃描的電子郵件 - 程式會將訊息附加到所有已掃描的電子郵件將附註附加到已傳送之受感染電子郵件的主旨 - 如果您不要讓電子郵件防護在受感染電子郵件的主旨中包含病毒警告請停用這項功能此功能允許對受感染電子郵件進行簡單基於主旨的過濾 (如果電子郵件程式支援的話) 它也會增加收件者的可靠性而且如果偵測到入侵則會提供有關指定電子郵件或寄件者的重要資訊新增到受感染電子郵件主旨的範本 - 如果您想修改受感染電子郵件的主旨字首格式請編輯此範本此功能會將字首值為 "[v irus ]" 的郵件主旨 "Hello" 取代成下列格式 "[v irus ] Hello" 變數 % V IRUS NA M E % 代表偵測到的威脅 55

56 Web 存取防護網際網路連線是大多數個人電腦中的標準功能不幸的是它也成為傳輸惡意程式碼的主要媒介 Web 存取的運作方式是監視 Web 瀏覽器與遠端伺服器之間的通訊並遵循 HTTP (超文字傳輸通訊協定) 及 HTTPs (加密的通訊) 規則在內容下載之前封鎖已知含惡意內容網頁的存取權限所有其他網頁會在下載時由 ThreatSense 掃描引擎進行掃描並在偵測到其包含惡意內容時加以封鎖 Web 存取防護會提供兩層防護依黑名單封鎖和依內容封鎖強烈建議您啟用 Web 存取防護功能此選項可從 ESET Endpoint Antivirus 的主要程式視窗存取 (瀏覽至 [ 設定] > [ Web 和電子郵件] > [ Web 存取防護] 您可在 [ 進階設定] (F5) > [ Web 和電子郵件] > [ Web 存取防護] 中使用下列選項 Web 通訊協定 - 可讓您配置監控大多數網際網路瀏覽器使用的這類標準通訊協定 URL 位址管理- 可讓您指定要封鎖允許或從檢查中排除的 HTTP 位址 Threat S ens e 引擎參數設定 - 進階病毒掃描器設定可讓您配置如要掃描的物件類型 (電子郵件和壓縮檔等) Web 存取防護的偵測方法等設定 Web 通訊協定依預設 ESET Endpoint Antivirus 已配置為監視大多數網際網路瀏覽器所使用的 HTTP 通訊協定 Windows Vista 以及更新版的作業系統會一律監視所有應用程式連接埠上的 HTTP 流量於 Windows XP 您可以在 [ 進階設定] (F5) > [ Web 和電子郵件] >[ Web 存取防護] > [ Web 通訊協定] > [ HTTP 掃描器設定] 中修改 [ HTTP 通訊協定使用的連接埠] 系統會監視所有應用程式特定連接埠上的 HTTP 流量且應用程式的所有連接埠將標記為 [Web 和電子郵件用戶端] ESET Endpoint Antivirus 也支援 HTTPS 通訊協定檢查 HTTPS 的通訊使用加密的通道以在伺服器與用戶端間傳輸資訊 ESET Endpoint Antivirus會檢查利用 SSL (安全通訊端層) 與 TLS (傳輸層安全性) 通訊協定的通訊此程式將只掃描 [ HTTP S 通訊協定使用的連接埠] 中定義的連接埠流量無論其作業系統的版本為何當使用預設值時則不掃描加密通訊若要啟用加密通訊的掃描請瀏覽至 [進階設定] 區段中的 [SSL/TLS] 接著按一下 [ Web 和電子郵件] > [ S S L/ TLS ] 然後選取 [ 啟用 S S L/ TLS 通訊協定過濾] 56

3.9.2.3.2 UR L 位址管理 URL 位址管理區段允許您指定要封鎖允許或從檢查中排除的 HTTP 位址不可以存取 [ 封鎖位址清單] 中的網站除非它們包含在 [ 允許的位址清單] 中 [ 從檢查中排除的位址清單] 中的網站在存取時將不檢查是否含有惡意程式碼若除了 HTTP 網頁之外您也想過濾 HTTPS 位址則必須選取 [ 啟用 S S L 通訊協定過濾]

57 UR L 位址管理 URL 位址管理區段允許您指定要封鎖允許或從檢查中排除的 HTTP 位址不可以存取 [ 封鎖位址清單] 中的網站除非它們包含在 [ 允許的位址清單] 中 [ 從檢查中排除的位址清單] 中的網站在存取時將不檢查是否含有惡意程式碼若除了 HTTP 網頁之外您也想過濾 HTTPS 位址則必須選取 [ 啟用 S S L 通訊協定過濾] 否則只有您已造訪 HTTPS 網站的網域將會新增但完整 URL 則不會新增在所有清單中都可以使用特殊符號 *(星號) 及?(問號) 星號代表任何數字或字元而問號代表任何單一字元指定已排除的位址時應該特別小心因為清單應僅包含受信任及安全位址同樣地必須確定在此清單中正確使用字符 *及? 請參閱新增 HTTP 位址/ 網域遮罩以瞭解如何使整個網域包含所有子網域能安全地相符若要啟動清單請啟用 [ 作用中的清單] 選項如果您想在進入目前清單中的位址時收到通知請啟用 [ 套用時通知] 若您想封鎖所有位於作用中 [ 允許的位址清單] 以外的 HTTP 位址請將 *新增至作用中的 [ 封鎖的位址清單] 新增 - 除了預先定義的清單之外將建立新的清單若您想有邏輯地分隔不同的位址群組這樣做很有幫助例如一個封鎖的位址清單可能包含外部公用黑名單上的位址而第二個清單則可能包含您自己黑名單上的位址這會讓您在保持自己的清單不變時更容易更新外部清單編輯 - 修改現有清單用這個選項來新增或移除清單上的位址移除 - 刪除現有清單僅適用於使用 [ 新增] 建立的清單預設清單並不適用網路釣魚防護網路釣魚這個詞彙是用來定義利用社交工程 (操縱使用者以取得機密資訊) 的犯罪活動網路釣魚通常用於存取像是銀行帳號 PIN 碼等敏感資料請在字彙中閱讀更多有關此活動的資訊 ESET Endpoint Antivirus 提供網路釣魚防護封鎖已知會散佈這類內容的網頁強烈建議您啟用 ESET Endpoint Antivirus 中的網路釣魚防護若要這麼做請開啟 [ 進階設定] (F5) 然後瀏覽至 [ Web 和電子郵件] > [ 網路釣魚防護] 造訪我們的知識庫文章以取得 ESET Endpoint Antivirus 中網路釣魚防護的詳細資訊存取網路釣魚網站存取已識別的網路釣魚網站時 Web 瀏覽器中會顯示下列對話方塊如果您仍想存取網站請按一下 [ 前往網站] (不建議) 57

附註已列入白名單的潛在網路釣魚網站會依預設在數小時後過期若要能永久存取該網站請使用 URL 位址管理工具從 [ 進階設定] (F5) 展開 [ Web 和電子郵件] > [ Web 存取防護] > [ URL 位址管理] > [ 位址清單] 按一下 [ 編輯] 再新增您要編輯的網站至此清單網路釣魚網站回報回報連結可讓您向 ESET 回報網路釣魚/ 惡意網站以供分析附註

58 附註已列入白名單的潛在網路釣魚網站會依預設在數小時後過期若要能永久存取該網站請使用 URL 位址管理工具從 [ 進階設定] (F5) 展開 [ Web 和電子郵件] > [ Web 存取防護] > [ URL 位址管理] > [ 位址清單] 按一下 [ 編輯] 再新增您要編輯的網站至此清單網路釣魚網站回報回報連結可讓您向 ESET 回報網路釣魚/ 惡意網站以供分析附註在將網站提交至 ESET 之前請確定其符合下列一或多個條件完全未偵測該網站錯將該網站偵測為威脅在此情況下您可以回報誤判網路釣魚網站或者您可以使用電子郵件提交該網站將您的電子郵件傳送至 samples@eset.com 請記得使用敘述性主旨並盡可能提供網站的相關資訊 (例如您是從哪一個網站參照至該網站您如何得知該網站等等) 更新程式定期更新 ESET Endpoint Antivirus 是讓電腦維持最高安全性等級的最佳方法更新模組會透過兩種方式來確保程式永遠為最新藉由更新病毒資料庫及更新系統元件在主要程式視窗中按一下 [ 更新] 可以尋找目前更新狀態包括最後的成功更新日期與時間並在需要時更新主要視窗內也含有病毒資料庫版本此數字指示是連往 ESET 網站的作用中連結而網站中會列出指定更新中新增的所有病毒碼此外其中有手動啟動更新程序的選項 [ 更新病毒資料庫] 可供使用更新病毒資料庫及更新程式元件是維持完整防護防止惡意代碼的一個重要部分請注意其配置與作業如果安裝期間沒有輸入授權詳情您可以按一下 [ 啟動產品] 在更新時輸入您的授權金鑰以存取 ESET 更新伺服器如果您使用沒有使用者名稱與密碼的離線授權檔案啟動 ESET Endpoint Antivirus 並嘗試更新則會出現 [ 病毒資料庫更新結束時發生錯誤] 紅色訊息提示您只能從映像下載更新附註: 購買 ESET Endpoint Antivirus 後 ESET 會提供給您授權金鑰 58

59 上一次成功更新 - 上次更新的日期請確認系統是指出最近的日期表示病毒資料庫是最新的病毒資料庫版本 - 病毒資料庫號碼也是連結至 ESET 網站的作用中連結按一下可檢視在指定更新內新增的所有病毒碼清單 59

60 更新處理程序按一下 [ 更新病毒資料庫] 之後即開始下載處理程序畫面上會顯示下載進度列及下載剩餘時間若要中斷更新請按一下 [ 取消更新] 重要在正常情況下適當地下載更新之後 [ 更新] 視窗中會出現 [ 不需要更新 -病毒資料庫是最新狀態] 訊息若非如此即表示程式過期因此更容易遭到感染請儘快更新病毒資料庫病毒資料庫已過期 - 在數次嘗試更新病毒資料庫失敗之後就會出現此錯誤我們建議您檢查更新設定此錯誤最常見的原因是輸入的驗證資料錯誤或連線設定的配置錯誤 60

61 前一個通知與下列關於失敗更新的兩項 [ 病毒資料庫更新失敗] 訊息相關 1. 無效的授權 - 在更新設定中已錯誤地輸入授權金鑰建議您檢查驗證資料 [進階設定] 視窗 (從主要功能表按一下 [ 設定] 然後按一下 [ 進階設定] 或按鍵盤上的 F5) 包含其他的更新選項從主要功能表按一下 [ 說明及支援] > [ 管理授權] 以輸入新的授權金鑰 61

62 2. 下載更新檔案時發生錯誤 - 此錯誤可能是因不正確的網際網路連線設定所造成建議您檢查網際網路連線 (透過在 Web 瀏覽器中開啟任何網站) 如果網站未開啟可能是尚未建立網際網路連線或是電腦連線有問題請與網際網路服務提供者 (ISP) 確認是否有可使用的網際網路連線附註如需詳細資訊請造訪此 ESET 知識庫文章更新設定在 [ 更新] > [ 基本] 下的 [ 進階設定] 樹狀結構 (F5) 中可使用更新設定選項此區段可指定更新來源資訊如正在使用的更新伺服器及這些伺服器的驗證資料一般目前使用的更新設定檔顯示於 [ 已選取的設定檔] 下拉式功能表中若要建立新設定檔請按一下 [ 設定檔清單] 旁的 [ 編輯] 並輸入您自己的 [ 設定檔名稱] 然後按一下 [ 新增] 如果您在嘗試下載病毒資料庫更新時遇到困難請按一下 [ 清除] 以清除暫時更新檔案/ 快取過期的病毒資料庫警告自動設定資料庫有效期限 - 允許設定時間上限 (以天計) 超過期限後病毒資料庫會回報過期預設值為 7 還原如果您懷疑病毒資料庫和/ 或程式模組的新更新不穩定或損壞您可以還原回上一版並在一段期間內停用任何更新如果您先前已無限期延後更新您也可以啟用這些停用的更新 ESET Endpoint Antivirus 會記錄病毒資料庫與程式模組的快照以搭配還原功能使用若要建立病毒資料庫快照請讓 [ 建立更新檔案快照] 切換選項保持在啟用狀態 [ 儲存於本機的快照數目] 欄位定義先前儲存的病毒資料庫快照數目 62

如果您按一下 [ 還原] ([ 進階設定] (F5) > [ 更新] > [ 一般] ) 您必須從 [暫停更新] 下拉式功能表中選取時間間隔這代表暫停病毒資料庫與程式模組更新的時間若要適當地下載更新必須正確地填入所有更新參數如果您使用防火牆請確定您的 ESET 程式可以與網際網路通訊 (即 HTTP 通訊) 基本依預設 [ 更新類型] 會設定成 [ 定期更新]

63 如果您按一下 [ 還原] ([ 進階設定] (F5) > [ 更新] > [ 一般] ) 您必須從 [暫停更新] 下拉式功能表中選取時間間隔這代表暫停病毒資料庫與程式模組更新的時間若要適當地下載更新必須正確地填入所有更新參數如果您使用防火牆請確定您的 ESET 程式可以與網際網路通訊 (即 HTTP 通訊) 基本依預設 [ 更新類型] 會設定成 [ 定期更新] 以確保更新檔案會自動從 ESET 伺服器使用最少網路流量下載發佈前更新 ([ 發佈前更新] 選項) 就是已完成內部測試且即將廣泛提供的更新啟用發佈前更新可讓您存取最新的偵測方法與修復程式不過發佈前更新有時可能會不穩定而不應該在需要最大可用性與穩定性的生產伺服器與工作站上使用 [ 延遲更新] 允許從特殊更新伺服器更新該伺服器會延遲至少 X 小時再提供新版的病毒資料庫 (亦即資料庫已在實際環境中測試因此可視為穩定) 停用成功更新後顯示通知 - 關閉畫面右下角的系統匣通知如果正在執行全螢幕應用程式或遊戲則選取此選項很有用請注意簡報模式將關閉所有通知透過可移除媒體更新 - 可讓您透過包含建立映像的可移除媒體進行更新選取 [ 自動] 時更新將在背景執行若您想顯示更新對話請選取 [ 一律詢問] [ 更新伺服器] 功能表依預設將設定為 [AUTOSELECT] 更新伺服器是儲存更新的位置若您使用 ESET 伺服器我們建議您讓預設選項保持選取狀態當使用本機 HTTP 伺服器 (也稱為映像 ) 時更新伺服器應該進行設定如下所示 om puter_ nam e_ or_ its _ IP _ addres s :2221 當透過 SSL 使用本機 HTTP 伺服器時更新伺服器應設定如下 https ://c om puter_ nam e_ or_ its _ IP _ addres s :2221 當使用本機共用資料夾時更新伺服器應設定如下 \\c om puter_ nam e_ or_ its _ IP _ addres s \s hared_ folder 從映像更新更新伺服器的驗證是根據在購買後產生並傳送給您的 [ 授權金鑰] 當使用本機映像伺服器時您可以定義用戶端用來登入映 63

64 像伺服器的憑證以便接收更新依預設不需要任何驗證即 [ 使用者名稱] 與 [ 密碼] 欄位為空更新設定檔對於各種更新配置及工作可建立更新設定檔建立更新設定檔對於行動使用者特別有用對於會定期變更的網際網路連線內容行動使用者需要這些內容的替代設定檔 [ 選取的設定檔] 下拉式功能表會顯示目前選取的設定檔預設是設定為 [ 我的設定檔] 若要建立新設定檔請按一下 [ 設定檔清單] 旁的 [ 編輯] 並輸入您自己的 [ 設定檔名稱] 然後按一下 [ 新增] 更新還原如果您按一下 [ 還原] ([ 進階設定] (F5) > [ 更新] > [ 設定檔] ) 您必須從下拉式功能表中選取時間間隔這代表暫停病毒資料庫與程式模組更新的時間選取 [ 直到取消為止] 可無限期延後定期更新直到您手動還原更新功能為止由於這有潛在性安全風險因此不建議選取此選項病毒資料庫版本會降級到最舊的可用版本並以快照形式儲存在本機電腦檔案系統中範例假設編號是病毒資料庫的最新版本與則儲存成病毒資料庫快照請注意無法使用例如因為電腦已關機且在下載前已進行較新的更新如果您在 [ 儲存於本機的快照數目] 欄位中設為 2 並按一下 [ 還原] 則病毒資料庫 (包含程式模組) 將還原回編號的版本此程序可能需要一些時間從 ESET Endpoint Antivirus 主要程式視窗的 [更新] 區段中檢查病毒資料庫版本是否已降級 64

65 更新模式 [ 更新模式] 索引標籤包含程式元件更新相關的選項新程式元件可以升級時程式可讓您預先定義其行為程式元件更新會提供新功能或變更舊版已存在的功能它可自動執行而無需使用者介入或者您也可以選擇提前通知安裝程式元件更新之後可能需要重新啟動電腦 [ 程式元件更新] 區段中可用的三個選項如下下載程式元件前詢問 - 預設選項將提示您確認或拒絕提供使用的程式元件更新一律更新程式元件 - 自動下載並安裝程式元件更新請記得系統可能要求重新啟動電腦絕不更新程式元件 - 絕不會執行程式元件更新此選項適用於伺服器安裝因為伺服器通常只有在維護時才會重新啟動附註選取最適當的選項需視將套用設定的工作站而定請注意工作站與伺服器之間有區別例如程式更新後自動重新啟動伺服器會導致嚴重損毀若 [ 下載更新前詢問] 選項已啟用有新的更新時將顯示通知若更新檔案大小超過 [ 詢問更新檔案是否大於 (k B )] 欄位中指定的值程式將顯示通知 H T T P prox y 若要存取指定更新設定檔的 Proxy 伺服器設定選項請按一下 [ 進階設定] 樹狀目錄 (F5) 中的 [ 更新] 然後按一下 [ HTTP P rox y ] 按一下 [ P rox y 模式] 下拉式功能表然後選取下列三個選項之一不使用 Proxy 伺服器經由 Proxy 伺服器連線使用全域 Proxy 伺服器設定選取 [ 使用全域 P rox y 伺服器設定] 選項將使用已經在 [ 進階設定] > [ 工具] > [ P rox y 伺服器] 中指定的全域 Proxy 伺服器設定選取 [ 不使用 P rox y 伺服器] 可明確定義不使用任何 Proxy 伺服器更新 ESET Endpoint Antivirus 如果出現下列狀況務必選取 [ 透過 P rox y 伺服器連線] 選項應用來更新 ESET Endpoint Antivirus 的 Proxy 伺服器與全域設定中所指定的 Proxy 伺服器不同 ([ 工具] > [ P rox y 伺服器] ) 若是如此則應該在其中指定設定 [ P rox y 伺服器] 位址通訊連接埠 (依預設為 3128) 以及 Proxy 伺服器的 [ 使用者名稱] 及 [ 密碼] (如果需要的話) 並未全域設定 Proxy 伺服器但是 ESET Endpoint Antivirus 將連接至 Proxy 伺服器進行更新電腦透過 Proxy 伺服器連接至網際網路系統在程式安裝期間從 Internet Explorer 取得設定但如果它們隨後有所變更 (例如您變更 ISP) 請檢查此視窗中所列的 HTTP Proxy 設定是否正確否則程式將無法連接至更新伺服器 Proxy 伺服器的預設值為 [ 使用全域 P rox y 伺服器設定] 如果 P rox y 無法使用請使用直接連線 - 如果 Proxy 無法存取便會在更新期間略過 Proxy 附註驗證資料 (例如 [ 使用者名稱] 及 [ 密碼] ) 是用來存取 Proxy 伺服器的只有在需要使用者名稱及密碼時才填寫這些欄位請注意這些欄位並不是使用 ESET Endpoint Antivirus 的使用者名稱/ 密碼僅當您瞭解您需要密碼以透過 Proxy 伺服器存取網際網路時才填寫以下列身分連接到區域網路從使用 Windows NT 作業系統版本的本機伺服器更新時預設需要每個網路連線的驗證若要配置這類帳戶請從 [ 本機使用者類型] 下拉式功能表選取系統帳戶(預設)? 目前使用者? 指定使用者選取 [ 系統使用者 (預設)] 以使用系統帳戶來驗證通常如果主要更新設定區段中沒有提供任何驗證資料則不會發生驗證程序若要確保程式授權其自己使用目前登入的使用者帳戶請選取 [ 目前使用者] 此解決方案的缺點是如果目前沒有任何使用者登入則程式無法連接至更新伺服器 65

$在此更新設定區段中驗證資料輸入應該如下所示網域名稱 \使用者 (如果是工作群組請輸入工作群組名稱 \名稱 ) 及密碼當從本機伺服器 HTTP 版本更新時不需要驗證如果即使在已下載更新之後伺服器連線仍處於作用中請選取 [ 更新後中斷伺服器連線] 來強制中斷連線 3.9.3.1.$

66 如果您想要程式使用特定使用者帳戶來驗證請選取 [ 指定使用者] 當預設系統帳戶連線失敗時會使用此方法請記得指定的使用者帳戶必須具有本機伺服器上更新檔案目錄的存取權否則程式將無法建立連線並下載更新警告 : 選取 [ 目前使用者] 或 [ 指定使用者] 選項時如果將程式身分變更為所需使用者則可能會發生錯誤我們建議將區域網路 (LAN) 驗證資料輸入主要更新設定區段在此更新設定區段中驗證資料輸入應該如下所示網域名稱 \使用者 (如果是工作群組請輸入工作群組名稱 \名稱 ) 及密碼當從本機伺服器 HTTP 版本更新時不需要驗證如果即使在已下載更新之後伺服器連線仍處於作用中請選取 [ 更新後中斷伺服器連線] 來強制中斷連線映像 ESET Endpoint Antivirus 可讓您建立更新檔案的副本可用於更新網路中的其他工作站映像的功用 -LAN 環境中更新檔案的副本很方便因為不需要由每個工作站從廠商更新伺服器重覆下載更新檔案更新會下載至本機映像伺服器然後散佈至所有工作站以避免網路流量超載風險從映像更新用戶端工作站會最佳化網路負載平衡節省網際網路連線頻寬本機映像伺服器的配置選項位於 [ 更新] 下的 [進階設定] 若要存取此區段請按 [ F5] 以存取 [進階設定] 並按一下 [ 更新] 然後選取 [ 映像] 索引標籤若要在用戶端工作站上建立映像請啟用 [ 建立更新映像] 啟用此選項會啟動其他映像配置選項例如存取更新檔案的方式及映像檔案的更新路徑存取更新檔案透過內部 HTTP 伺服器提供更新檔案 - 如果已啟用則透過 HTTP 即可存取更新檔案而且不需要授權附註 Windows XP 需要 Service Pack 2 或更新版本以使用 HTTP 伺服器存取映像伺服器的方法在從映像更新中有詳細說明您可利用兩種基本的方法來存取映像 -含有更新檔案的資料夾可以顯示為共用網路資料夾或用戶端可以存取 HTTP 伺服器上的映像專用於儲存映像更新檔案的資料夾定義於 [ 儲存映像檔案的資料夾] 下方按一下 [ 資料夾] 以瀏覽本機電腦或共用網路資料夾上的資料夾如果需要指定資料夾的授權必須在 [ 使用者名稱] 及 [ 密碼] 欄位中輸入驗證資料如果選取的目標資料夾位於執行 Windows NT/2000/XP 作業系統的網路磁碟上則指定的使用者名稱及密碼必須具有已選取資料夾的寫入權使用者名稱及密碼的輸入格式應為網域 /使用者或工作群組 /使用者請記得提供對應的密碼 66

67 檔案 - 配置映像時您可以指定要下載的更新的語言版本使用者所配置的映像伺服器必須支援選取的語言 HTTP 伺服器伺服器連接埠 - 依預設伺服器連接埠設定為 2221 驗證 - 定義用於存取更新檔案的驗證方法可用選項如下 [ 無]? [ 基本] 及 [ NTLM] 選取 [ 基本] 以使用具有基本使用者名稱及密碼驗證的 base64 編碼 [ NTLM] 選項提供使用安全編碼方法的編碼對於驗證會使用共用更新檔案之工作站上建立的使用者預設值為 [ 無] 這會授與對無需驗證之更新檔案的存取權如果您想要執行支援 HTTPS (SSL) 的 HTTP 伺服器請附加您的 [ 憑證連鎖檔案] 或產生自我簽署的憑證以下為可用的憑證類型 ASN PEM 和 PFX.為了額外的安全性您可以使用 HTTPS 通訊協定來下載更新檔案使用此通訊協定幾乎不可能追蹤資料傳送與登入憑證 [ 私密金鑰類型] 選項設為 [ 已整合] (因此 [ 私密金鑰檔案] 選項預設為停用) 這表示私密金鑰是所選憑證連鎖檔案的一部分以下列身分連接到區域網路本機使用者類型 - [ 系統帳戶(預設)]? [ 目前使用者] 和 [ 指定使用者] 等設定會顯示在其對應的下拉式功能表中 [ 使用者名稱] 和 [ 密碼] 設定是選擇性的請參閱以下列身分連接到區域網路如果在已下載更新之後伺服器連線仍處於作用中請選取 [ 更新後中斷伺服器連線] 來強制中斷連線程式元件更新自動更新元件 - 可安裝新功能和現有功能的更新更新可自動執行而無需使用者介入或者您也可以選擇提前通知安裝程式元件更新之後可能需要重新啟動電腦立即更新元件 - 將程式元件更新到最新版本 67

68 從映像更新配置映像有兩個基本方法映像實際上是一個存放庫讓用戶端可以下載更新檔案含有更新檔案的資料夾可以顯示為共用網路資料夾或 HTTP 伺服器使用內部 HTTP 伺服器存取映像此組態是預先定義程式配置中指定的預設值若要允許使用 HTTP 伺服器存取映像請瀏覽至 [ 進階設定] > [ 更新] > [ 映像] 並選取 [ 建立更新映像] 在 [ 映像] 索引標籤的 [ HTTP 伺服器] 區段中您可以指定 HTTP 伺服器將接聽的 [ 伺服器連接埠] 以及 HTTP 伺服器使用的 [ 驗證] 類型依預設伺服器連接埠設定為 2221 [ 驗證] 選項定義用於存取更新檔案的驗證方法可用選項如下 [ 無]? [ 基本] 及 [ NTLM] 選取 [ 基本] 以使用具有基本使用者名稱及密碼驗證的 base64 編碼 [ NTLM] 選項提供使用安全編碼方法的編碼對於驗證會使用共用更新檔案之工作站上建立的使用者預設值為 [ 無] 這會授與對無需驗證之更新檔案的存取權警告如果您想要允許透過 HTTP 伺服器的更新檔案存取則映像資料夾必須位於 ESET Endpoint Antivirus 實例建立它時所在的電腦針對 HTTP 伺服器的 S S L 如果您想要執行支援 HTTPS (SSL) 的 HTTP 伺服器請附加您的 [ 憑證連鎖檔案] 或產生自我簽署的憑證以下為可用的憑證類型 P E M? P FX 和 A S N 為了額外的安全性您可以使用 HTTPS 通訊協定來下載更新檔案使用此通訊協定幾乎不可能追蹤資料傳送與登入憑證 [ 私密金鑰類型] 依預設會設定成 [ 已整合] 表示私密金鑰是所選憑證連鎖檔案的一部分附註: 數次從 [映像] 嘗試更新病毒資料庫失敗之後 [ 無效的使用者名稱和/ 或密碼] 錯誤會出現在主要功能表中的 [更新] 窗格中我們建議您瀏覽至 [ 進階設定] > [ 更新] > [ 映像] 然後檢查使用者名稱和密碼此錯誤最常見的原因是輸入的驗證資料錯誤配置完成您的映像伺服器之後您必須在用戶端工作站上新增新的更新伺服器若要執行此處理方法請遵循以下步驟存取 [ 進階設定] (F5) 並按一下 [ 更新] > [ 基本] 用下列其中一種格式解除 [ 自動選擇] 並將新的伺服器新增至 [ 更新伺服器] 欄位 _ addres s _ of_ y our_ s erv er:

69 https ://IP _ addres s _ of_ y our_ s erv er:2221 (如果使用 SSL 的話) 透過系統共用存取映像首先應該在本機或網路裝置上建立共用資料夾建立映像資料夾時必須為將更新檔案儲存到資料夾的使用者提供寫入存取權並且為將從映像資料夾更新 ESET Endpoint Antivirus 的所有使用者提供讀取存取權然後停用 [ 透過內部 HTTP 伺服器提供更新檔案] 配置 [ 進階設定] > [ 更新] > [ 映像] 索引標籤中的映像存取權依預設會在程式安裝套件中啟用此選項如果共用資料夾位於網路中的另一台電腦必須輸入存取其他電腦的驗證資料若要輸入驗證資料請開啟 ESET Endpoint Antivirus [ 進階設定] (F5) 並按一下 [ 更新] > [ 以下列身分連接到區域網路] 此與以下列身分連接到區域網路一節所說明用來更新的設定相同映像配置完成之後在用戶端工作站上依照下列步驟將 \\UNC\P A TH 設定為更新伺服器 1. 開啟 ESET Endpoint Antivirus [ 進階設定] 並按一下 [ 更新] > [ 基本] 2. 按一下 [ 更新伺服器] 欄位接著用 \\UNC\P A TH 格式加入新伺服器附註: 若要更新正常運作映像資料夾的路徑必須指定為 UNC 路徑來自對應磁碟機的更新不會運作最後一個區段控制程式元件 (PCU) 依預設下載的程式元件已準備好複製到本機映像如果已啟動 [ 程式元件更新] 則不需要按一下 [ 更新] 因為檔案會在備妥時自動複製到本機映像如需程式元件更新的詳細資訊請參閱更新模式疑難排解映像更新問題大部分情況下導致從映像伺服器更新期間發生問題的一個或多個原因如下 [映像] 資料夾選項的不正確指定對 [映像] 資料夾資料的不正確驗證對嘗試從映像下載更新檔案之本機工作站的不正確配置或以上原因的組合以下提供從映像更新期間經常可能發生之問題的概觀連接至映像伺服器時 E S E T E ndpoint A nt iv irus 報告錯誤 - 可能的原因是本機工作站下載更新所在更新伺服器 (映像資料夾的網路路徑) 的指定不正確若要驗證資料夾請按一下 Windows [ 開始] 並按一下 [ 執行] 然後輸入資料夾名稱並按一下 [ 確定] 畫面上應該會顯示資料夾內容 E S E T E ndpoint A nt iv irus 需要使用者名稱及密碼 - 可能由於更新區段中不正確的驗證資料 (使用者名稱及密碼) 所致使用者名稱及密碼用於授與更新伺服器 (程式更新位置) 的存取權請確定驗證資料正確且以正確的格式輸入例如網域 / 使用者名稱或工作群組 /使用者名稱以及對應的密碼如果每個人都可以存取映像伺服器請注意這並不表示授與所有人存取權每個人不表示所有未授權的使用者僅表示每個網域使用者都可以存取資料夾因此如果每個人都可以存取資料夾則更新設定區段中仍需要輸入網域使用者名稱及密碼連接至映像伺服器時 E S E T E ndpoint A nt iv irus 報告錯誤 - 封鎖定義用於存取 HTTP 版本映像之連接埠的通訊如何建立更新工作您可使用下列方式手動觸發更新按一下主要功能表中的 [ 更新] 之後在顯示的主要視窗中按一下 [ 更新病毒資料庫] 更新還可以執行為已排程的工作若要設定排程工作請按一下 [ 工具] > [ 排程器] 依預設會在 ESET Endpoint Antivirus 中啟動下列工作定期自動更新撥號連線後自動更新使用者登入後自動更新各個更新工作都可以修改以滿足您的需求除了預設更新工作之外您亦可利用使用者定義的配置來建立新的更新工作如需建立及配置更新工作的詳細資訊請參閱排程器 69

70 3.9.4 工具 [ 工具] 功能表包括的模組可協助簡化程式管理並為進階使用者提供其他選項此功能表包括下列工具防護記錄檔案防護統計即時監控執行中的處理程序 (如果已在 ESET Endpoint Antivirus 中啟用 ESET Live Grid) 排程器隔離區 ESET SysInspector 提交樣本以供分析 - 可讓您將可疑檔案提交至 ESET 研究實驗室以供分析按一下此選項之後所顯示的對話方塊視窗在提交樣本以供分析一節中會加以說明 E S E T S y s Res c ue - 將您重新導向至 ESET SysRescue Live 頁面您可以在此處下載 Microsoft Windows 作業系統的 ESET SysRescue Live 影像或 Live CD/USB Creator 70

71 防護記錄檔案防護記錄檔案包含所有已發生之重要程式事件的相關資訊並提供偵測到之威脅的概觀在系統分析威脅偵測及疑難排解方面防護記錄都是一項很重要的工具記錄作業會主動在背景中執行不需使用者介入系統會依據目前的防護記錄冗贅設定來記錄資訊您可以直接從 ESET Endpoint Antivirus 環境檢視文字訊息及防護記錄您也可以保存防護記錄檔案從主要程式視窗中按一下 [ 工具] > [ 防護記錄檔案] 可存取防護記錄從 [ 防護記錄] 下拉式功能表中選取所需的防護記錄類型以下是可用的防護記錄偵測到威脅 - 威脅防護記錄提供 ESET Endpoint Antivirus 模組所偵測到入侵的詳細資訊資訊包括偵測時間入侵的名稱位置以及在偵測到入侵時所登入的使用者名稱及其執行的處理方法按兩下任何防護記錄項目以在個別視窗中顯示其詳細資訊事件 - ESET Endpoint Antivirus 執行的所有重要處理方法都會記錄在事件防護記錄中事件防護記錄包含程式中已發生事件及錯誤的相關資訊此選項專門用來協助系統管理員及使用者解決問題通常在這裡找到的資訊可協助您找到程式中所發生問題的解決方案電腦掃瞄 - 所有掃描結果都會顯示在這個視窗中每一行均與單一電腦控制項對應按兩下任何項目以檢視各個掃描的詳情 HIP S - 包含已標記要記錄之特定規則的記錄通訊協定會顯示呼叫該作業的應用程式結果 (是否允許或禁止規則) 及已建立規則的名稱已過濾的網站 -如果您想要檢視 Web 存取防護所封鎖的網站清單此功能很實用這些防護記錄會顯示開啟特定網站連線的時間 URL 使用者與應用程式裝置控制 - 包含連接到電腦的可移除媒體或裝置記錄僅含有裝置控制規則的裝置將記錄於防護記錄檔案中如果規則不符合連接的裝置將不會對連接的裝置建立防護記錄項目您也可以在這裡看見詳細資訊例如裝置類型序號供應商名稱及媒體大小 (如果有) 在每個區段中選取項目並按一下 [ 複製] 可將顯示的資訊複製到剪貼簿 (鍵盤快捷鍵 Ct rl + C) Ct rl 和 S hif t 鍵可用來選取多個項目按一下 [ 過濾] 開啟 [ 防護記錄過濾] 視窗您可以在其中定義過濾條件您可以滑鼠右鍵按一下特定記錄來顯示內容功能表內容功能表有以下可用選項顯示 - 顯示有關在新視窗中所選取防護記錄的詳細資訊過濾相同的記錄 - 啟動此過濾器之後您只會看見相同類型的記錄 (診斷警告... ) 過濾... / 尋找...- 按一下此選項之後會出現 [搜尋防護記錄] 視窗可讓您定義特定防護記錄項目的過濾條件啟用過濾 - 啟動過濾設定停用過濾 - 清除所有過濾器設定值 (如上所述) 複製/ 全部複製 - 複製視窗中所有記錄的相關資訊刪除/ 全部刪除 - 刪除選取的記錄或所有顯示的記錄 -此動作需要管理員權限才能執行匯出...- 以 XML 格式匯出記錄相關資訊全部匯出...- 以 XML 格式匯出所有記錄的相關資訊捲動防護記錄 - 將此選項保持在啟用狀態以自動捲動舊的防護記錄並且檢視 [ 防護記錄檔案] 視窗中的作用中防護記錄搜尋防護記錄防護記錄儲存重要系統事件的相關資訊防護記錄過濾功能可讓您顯示特定事件類型的記錄將搜尋關鍵字輸入 [ 尋找文字] 欄位中如果您想在特定直欄中搜尋關鍵字請更改 [ 搜尋直欄] 下拉式功能表中的過濾記錄類型 - 從下拉式功能表中選擇一或多個記錄防護記錄類型診斷 - 要微調程式和上述的所有記錄所需的防護記錄資訊資訊 - 記錄資訊性訊息包含成功更新訊息及上述所有記錄警告 - 記錄嚴重錯誤及警告訊息錯誤 - 記錄諸如下載檔案時發生錯誤等類型的錯誤及嚴重錯誤嚴重 - 僅記錄嚴重錯誤 (啟動病毒防護等時發生錯誤) 時段 - 定義要顯示結果的時段 71

72 所有文字須相符 - 若您想利用特定的完整文字進行更精確的搜尋請選取此核取方塊區分大小寫 - 若是過濾時使用大小寫字母對您而言很重要請啟用此選項向上搜尋 - 出現在文件較上層的搜尋結果會先顯示 Prox y 伺服器設定在大型 LAN 網路中 Proxy 伺服器可用來調節電腦與網際網路的通訊使用此配置則需要定義下列設定否則程式將無法自動進行更新在 ESET Endpoint Antivirus 中 Proxy 伺服器設定位於 [進階設定] 樹狀目錄的兩個不同區段中首先 Proxy 伺服器設定可在 [ 工具] > [ P rox y 伺服器] 下的 [ 進階設定] 中配置在這個等級指定 Proxy 伺服器會定義所有 ESET Endpoint Antivirus 的全域 Proxy 伺服器設定需連線到網際網路的所有模組都會使用這裡的參數若要指定此層級的 Proxy 伺服器設定請選取 [ 使用 P rox y 伺服器] 然後將 Proxy 伺服器的位址和 [ 連接埠] 號碼輸入 [ P rox y 伺服器] 欄位中如果與 Proxy 伺服器之間的通訊需要驗證請選取 [ P rox y 伺服器需要驗證] 並將有效的 [ 使用者名稱] 及 [ 密碼] 輸入各自的欄位中按一下 [ 偵測] 以自動偵測和填入 Proxy 伺服器設定將複製 Internet Explorer 中指定的參數附註您必須在 [ P rox y 伺服器] 設定中手動輸入使用者名稱和密碼如果 P rox y 無法使用請使用直接連線 - 如果產品已配置為使用 HTTP Proxy 且 Proxy 無法存取產品將避開 Proxy 並與 ESET 伺服器直接通訊 Proxy 伺服器設定也可以在 [進階] 更新設定中建立 (從 [ P rox y 模式] 下拉式功能表選取 [ 透過 P rox y 伺服器連線] 中的 [ 進階設定] > [ 更新] > [ HTTP P rox y ] ) 此設定適用於指定更新設定檔且建議用於筆記型電腦筆記型電腦通常會從遠端位置接收病毒碼更新如需此設定的詳細資訊請參閱進階更新設定排程器排程器使用預先定義的配置與屬性管理及啟動已排程的工作按一下 [ 工具] > [ 排程器] 即可從 ESET Endpoint Antivirus 主要程式視窗存取排程器 [ 排程器] 包含已排程的工作與其配置內容 (如預先定義的日期時間及使用的掃描設定檔) 的清單 [排程器] 可用來排程下列工作病毒資料庫更新掃描工作系統啟動檔案檢查及防護記錄維護您可以直接在主 [排程器] 視窗中新增或刪除工作 (按一下底端的[ 新增工作] 或 [ 刪除] ) 在 [排程器] 視窗中的任何位置按一下滑鼠右鍵以執行下列處理方法顯示詳細資訊立即執行工作新增工作及刪除現有工作使用每個項目前端的核取方塊來啟動/ 停用工作依預設下列排定工作會顯示在 [ 排程器] 中防護記錄維護定期自動更新撥號連線後自動更新使用者登入後自動更新自動啟動檔案檢查 (使用者登入後) 自動啟動檔案檢查 (成功更新病毒資料庫後) 自動先掃描若要編輯 (預設及使用者定義的) 現有排定工作的配置請在工作上按一下滑鼠右鍵並按一下 [ 編輯... ] 或選取要修改的工作再按一下 [ 編輯] 按鈕新增工作 1. 按一下視窗底部的 [ 新增工作] 2. 輸入工作的名稱 72

3. 自下拉式功能表選取想要的工作執行外部應用程式 - 排程以執行外部應用程式防護記錄維護 - 防護記錄檔案還包括已刪除記錄的剩餘部分此工作會定期最佳化防護記錄檔案中的記錄以有效運作系統啟動檔案檢查 - 檢查系統啟動或登入時允許執行的檔案建立電腦掃描 - 建立 ESET SysInspector 電腦快照 -收集關於系統元件 (例如驅動程式應用程式) 的詳細資訊並評估各

73 3. 自下拉式功能表選取想要的工作執行外部應用程式 - 排程以執行外部應用程式防護記錄維護 - 防護記錄檔案還包括已刪除記錄的剩餘部分此工作會定期最佳化防護記錄檔案中的記錄以有效運作系統啟動檔案檢查 - 檢查系統啟動或登入時允許執行的檔案建立電腦掃描 - 建立 ESET SysInspector 電腦快照 -收集關於系統元件 (例如驅動程式應用程式) 的詳細資訊並評估各個元件的風險層級指定電腦掃描 - 針對電腦中的檔案及資料夾執行掃描先掃描 - 依預設在安裝後 20 分鐘或電腦重新開機時將以低優先順序工作級別執行電腦掃描更新 - 更新病毒資料庫與程式模組來排程更新工作 4. 若您要啟用工作則請開啟 [ 已啟用] 選項 (您可以稍後在已排程工作清單中選取/ 取消選取核取方塊以完成開啟) 接著按一下 [ 下一步] 並選取其中一個時間選項一次 - 工作將在預先定義的日期及時間執行重複 - 工作將在指定的時間間隔內執行每日 - 工作會重複每天在指定的時間執行每星期 - 工作將在選取的日期及時間執行事件觸發 - 工作會在指定的事件發生時執行 5. 選取 [ 使用電池執行時略過工作] 以在膝上型電腦使用電池執行時將系統資源消耗降到最低工作會在 [ 工作執行] 欄位中的指定日期和時間執行如果工作無法在預先定義的時間執行您可以指定工作的再次執行時間於下次排程的時間儘快如果距離上次執行的時間超過指定值則立即執行工作 (可以使用 [ 自上次執行後經過的時間] 捲動方塊定義間隔) 您可以按一下滑鼠右鍵並按一下 [ 顯示工作詳情] 以檢閱已排程的工作 73

74 防護統計若要檢視與 ESET Endpoint Antivirus 防護模組相關的統計資料圖表請按一下 [ 工具] > [ 防護統計] 從 [ 統計] 下拉式功能表中選取想要的防護模組以查看對應的圖表及圖例如果將滑鼠游標置於圖例中的項目上則在圖表中只會顯示該項目的資料下列為可用的統計圖表病毒及間諜程式防護 - 顯示受感染及已清除的物件數目 [ 檔案系統防護] - 只顯示已讀取或寫入檔案系統的物件電子郵件用戶端防護 - 只顯示電子郵件用戶端傳送或接收的物件 [ Web 存取及網路釣魚防護] - 只顯示 Web 瀏覽器下載的物件在統計圖表旁您可以看見已掃描物件的總數受感染的物件數目已清除的物件數目以及不含病毒物件的數目按一下 [ 重設] 來清除統計資訊或按一下 [ 全部重設] 來清除並移除所有現有的資料即時監控若要以圖形格式查看目前的[ 檔案系統活動] 請按一下 [ 工具] > [ 即時監控] 在圖形的底端是根據選取之時間範圍即時記錄檔案系統活動的時間表若要變更時間範圍請從 [ 重新整理率] 下拉式功能表中選取可用選項如下跳過 1 跳過 1 跳過 1 跳過 1 秒 - 圖表每秒鐘都會重新整理且時間表包含最近 10 分鐘分鐘 (最近 24 小時) - 圖表每分鐘都會重新整理且時間表包含最近 24 小時小時 (最近一個月) - 圖表每小時都會重新整理且時間表包含最近一個月小時 (選取的月份) - 圖表每小時都會重新整理且時間表包含選取的最近 X 個月 [ 檔案系統活動圖形] 中的縱軸表示已讀取資料量 (藍色) 及已寫入資料量 (紅色) 兩個值都以 kb/mb/gb 為單位如果將滑鼠游標置於圖表下方圖例中已讀取資料或已寫入資料上則圖表將只會顯示該活動類型的資料 74

75 E SE T SysI nspector ESET SysInspector 是全面檢查電腦收集系統元件 (例如驅動程式和應用程式網路連線或重要的登錄項目) 的詳細資訊並評估各個元件風險層級的應用程式此資訊可協助判定可疑系統行為是肇因於軟體或硬體不相符還是惡意軟體感染 SysInspector 視窗會顯示建立的防護記錄相關的下列資訊時間 - 防護記錄建立的時間註解 - 簡短註解使用者 - 建立防護記錄的使用者名稱狀態 - 防護記錄建立的狀態以下是可用的處理方法開啟- 開啟已建立的防護記錄您也可以在指定的防護記錄檔案上按一下右鍵並從內容功能表選取 [ 顯示] 比較 - 比較兩份現有防護記錄建立...- 建立新的防護記錄請等候直到 ESET SysInspector 完成 (防護記錄狀態會顯示為 [已建立]) 再嘗試存取防護記錄刪除 - 從清單移除選取的防護記錄選取一個或多個防護記錄後內容功能表中即有以下項目可供使用顯示 - 在 ESET SysInspector 中開啟所選取的防護記錄 (與按兩下防護記錄的功能相同) 比較 - 比較兩份現有防護記錄建立...- 建立新的防護記錄請等候直到 ESET SysInspector 完成 (防護記錄狀態會顯示為 [已建立]) 再嘗試存取防護記錄全部刪除 - 刪除所有防護記錄匯出...- 將防護記錄匯出至.x m l 檔或壓縮的.x m l E SE T L ive G rid ESET Live Grid 是進階的預早警告系統結合多項雲端技術其幫助根據聲譽偵測新出現的威脅並透過白名單改善掃描效能新的威脅資訊會即時串流到雲端讓 ESET 惡意軟體研究實驗室能及時回應並隨時提供一致的防護使用者可直接從程式的介面或關聯式功能表查看執行中的處理程序與檔案的聲譽以及可從 ESET Live Grid 取得的其他資訊安裝 ESET Endpoint Antivirus 時請選取以下其中一個選項 1. 您可以決定不啟用 ESET Live Grid 您的軟體不會失去任何功能但在有些情況下 ESET Endpoint Antivirus 可能會比病毒資料庫更新更慢回應新威脅 2. 您可以配置 ESET Live Grid 以提交新威脅與偵測到新威脅代碼位置的匿名資訊此檔案可傳送至 ESET 以供詳細分析研究這些威脅會協助 ESET 更新其威脅偵測能力 ESET Live Grid 會收集與新偵測到之威脅相關的電腦資訊此資訊可能包括出現威脅的檔案範例或副本檔案路徑檔案名稱日期與時間威脅出現在電腦上程序以及電腦作業系統的相關資訊依預設 ESET Endpoint Antivirus 配置為將可疑檔案提交至 ESET 病毒實驗室以供詳細分析例如.doc 或.x ls 等某些副檔名的檔案一律排除如果有您或您的組織要避免傳送的特殊檔案您也可以新增其他副檔名 ESET Live Grid 聲譽系統提供雲端型白名單和黑名單若要存取 ESET Live Grid 的設定請按 [ F5] 進入 [進階] 設定展開 [ 工具] > E S E T Liv e Grid 啟用 E S E T Liv e Grid 聲譽系統 (建議) - ESET Live Grid 聲譽系統可將掃描的檔案與雲端中的白名單和黑名單項目比較以改善 ESET 惡意軟體防護解決方案的效益提交匿名統計 - 允許 ESET 收集新偵測到威脅的相關資訊例如威脅名稱偵測的日期與時間偵測方法與關聯的中繼資料產品版本與配置 (包括您系統的相關資訊) 提交檔案 - 類似威脅的檔案和/ 或有異常特性或行為的檔案可提交至 ESET 進行分析選取 [ 啟用記錄] 可建立事件防護記錄以記錄檔案及統計資訊提交當傳送檔案或統計資訊時此選項允許記錄在事件防護記錄中 [ 連絡人電子郵件 (選用)] - 傳送任何可疑的檔案時會連同您的連絡人電子郵件一併傳送在分析時若需要您提供進一步的資訊便可利用這個電子郵件連絡您請注意除非需要更多資訊否則您將不會收到 ESET 的任何回應 75

76 [ 排除] - 排除過濾可讓您排除某些不提交的檔案/ 資料夾 (例如您可使用使選項排除可能包含機密資訊的檔案例如文件或試算表) 絕對不會將列出的檔案傳送至 ESET 實驗室以供分析即使其包含可疑代碼依預設最常見的檔案類型 (.doc 等) 均會被排除在外如果需要您可以新增到排除檔案清單中如果您使用過 ESET Live Grid 但現已停用則可能還有待傳送的資料套件即使已停用此類套件仍會傳送到 ESET 一旦已傳送所有目前資訊便不會繼續建立套件執行中的處理程序執行中處理程序會顯示電腦上執行的程式或處理程序確保迅速持續地通知 ESET 新入侵的相關資訊 ESET Endpoint Antivirus 可提供執行中處理程序的詳細資訊以啟用 ESET Live Grid 技術保護使用者風險等級 - 在大部分情況下 ESET Endpoint Antivirus 和 ESET Live Grid 技術會使用一系列的啟發式規則 (檢查每個物件的特性然後衡量惡意活動潛在的可能性) 來指派物件 (檔案處理程序登錄機碼等) 的風險等級根據這些啟發式規則指派從 1 - 良好 (綠色) 至 9 - 危險 (紅色) 的風險層級給物件處理程序 - 目前在電腦上執行的程式或處理程序的影像名稱若要查看電腦上的所有處理程序您也可以使用 Windows 工作管理員您可以在工具列的空白區按下滑鼠右鍵開啟 [工作管理員] 然後按一下 [工作管理員] 或按下鍵盤上的 Ct rl+s hif t +E s c 鍵 P ID - 是在 Windows 作業系統上執行程序的 ID 附註標示為良好 (綠色)的已知應用程式絕對是無病毒的 (白名單) 將排除在掃瞄名單之外如此可以改善電腦上指定電腦掃描或即時檔案系統防護的速度使用者數目 - 使用指定應用程式的使用者數目此資訊是由 ESET Live Grid 技術收集發現時間 - 應用程式由 ESET Live Grid 技術發現以來的時間附註應用程式被標示為不明 (橙色) 安全等級時不一定確定是惡意軟體它通常只是新的應用程式若您對檔案不確定可以使用提交檔案以供分析功能來傳送檔案至 ESET 的病毒實驗室若經證實檔案為惡意的應用程式則其偵測會新增到其中一個近期的病毒資料庫更新應用程式名稱 - 程式或處理程序的指定名稱 76

77 經由按一下最下方的指定應用程式視窗底部會出現以下資訊路徑 - 電腦上應用程式的位置大小 - 單位為 kb 或 MB 的檔案大小說明 - 根據作業系統說明的檔案特性公司 - 供應商或應用程式處理程序的名稱版本 - 來自應用程式發行者的資訊產品- 應用程式名稱和/ 或商業名稱建立日期 - 應用程式建立時的日期及時間修改日期 - 最近一次應用程式修改的日期及時間附註聲譽也可在不作為執行中程式/ 處理程序的檔案上檢查 - 標記您要檢查的檔案並以滑鼠右鍵按一下這些檔案然後從內容功能表選取 [ 進階選項] > [ 使用 E S E T Liv e Grid 檢查檔案聲譽] 提交樣本以供分析樣本提交對話方塊可讓您將檔案或網站傳送至 ESET 以供分析而這個對話方塊可在 [ 工具] > [ 提供樣本以分析] 中找到如果您在電腦中發現行跡可疑的檔案或在網際網路中發現可疑的網站您可以將其提交至 ESET 病毒實驗室以供分析如果檔案證實為惡意的應用程式或網站則其偵測會新增到近期的更新中您也可以透過電子郵件來提交檔案若您偏好此選項請使用 WinRAR/ZIP 壓縮檔案使用密碼 infected 來保護壓縮檔然後將其傳送至 samples@eset.com 請記得使用敘述性的主旨並盡可能涵蓋檔案的相關資訊 (例如下載的網站) 附註在將樣本提交至 ESET 之前請確定其符合下列一或多個條件完全未偵測該檔案或網站錯將該檔案或網站偵測為威脅除非需要進一步的資訊以供分析否則您將不會收到任何回應從 [ 提交樣本的原因] 下拉式功能表中選取最符合您訊息的說明可疑檔案可疑網站 (受到惡意軟體感染的網站)? 誤判檔案 (偵測為感染但實際上未受感染的檔案) 誤判網站其他檔案/ 網站 - 要提交的檔案或網站路徑連絡人電子郵件 - 這個連絡人電子郵件會與可疑檔案一併傳送到 ESET 並可用於在需要進一步資訊以供分析時連絡您輸入連絡人電子郵件是選用選項由於我們的伺服器每天都會接收到成千上萬個檔案所以除非需要更多資訊否則我們不可能一一回覆因此您將不會收到 ESET 的回應 77

3.9.4.10 電子郵件通知如果發生與所選簡化層級相關的事件則 ESET Endpoint Antivirus 可以自動傳送電子郵件通知啟用 [ 利用電子郵件傳送事件通知] 以啟動電子郵件通知 S MTP 伺服器 S MTP 伺服器 - 用於傳送通知的 SMTP 伺服器 (例如 s m tp.prov ider.

78 電子郵件通知如果發生與所選簡化層級相關的事件則 ESET Endpoint Antivirus 可以自動傳送電子郵件通知啟用 [ 利用電子郵件傳送事件通知] 以啟動電子郵件通知 S MTP 伺服器 S MTP 伺服器 - 用於傳送通知的 SMTP 伺服器 (例如 s m tp.prov ider.c om :587 預先定義的連接埠為 25) 附註 ESET Endpoint Antivirus 支援具備 TLS 加密功能的 SMTP 伺服器使用者名稱及密碼 - 如果 SMTP 伺服器需要驗證則應該在這些欄位中填寫有效的使用者名稱及密碼以存取 SMTP 伺服器寄件者地址 - 此欄位指定將在通知電子郵件檔頭顯示的寄件者地址收件者地址 - 此欄位指定將在通知電子郵件檔頭顯示的收件者地址使用分號分隔多個電子郵件地址從 [ 通知最簡化] 下拉式功能表中您可以選取將傳送通知的起始嚴重性層級診斷資訊警告錯誤嚴重 - 要微調程式和上述的所有記錄所需的防護記錄資訊 - 記錄例如非標準網路事件的資訊性訊息包含成功更新訊息及上述所有記錄 - 記錄嚴重錯誤及警告訊息 (反隱藏技術未正確執行或更新失敗) - 會記錄錯誤 (例如文件防護未啟用) 及嚴重錯誤 - 僅記錄嚴重錯誤例如啟動病毒防護或除受感染的系統啟用 TLS - 啟用 TLS 加密支援的傳送警告及通知訊息傳送新通知電子郵件的間隔 (分鐘) - 以電子郵件傳送新通知的間隔 (分鐘) 如果您將該值設為 0 則會立即傳送通知以不同的電子郵件傳送每個通知 - 啟用後收件者會收到各個通知的新電子郵件這可能會造成短時間內收到大量的電子郵件 78

訊息格式事件訊息格式 - 在遠端電腦顯示的事件訊息格式威脅警告訊息格式 - 威脅警告及通知訊息具有預先定義的預設格式我們建議您不要變更此格式然而在某些情況下 (例如如果您具有自動電子郵件處理系統) 您可能需要變更訊息格式使用本機字母字元 - 以 Windows Regional 設定的編碼將電子郵件訊息轉換為 ANSI 字元 (例如 windows-1250) 如果您

79 訊息格式事件訊息格式 - 在遠端電腦顯示的事件訊息格式威脅警告訊息格式 - 威脅警告及通知訊息具有預先定義的預設格式我們建議您不要變更此格式然而在某些情況下 (例如如果您具有自動電子郵件處理系統) 您可能需要變更訊息格式使用本機字母字元 - 以 Windows Regional 設定的編碼將電子郵件訊息轉換為 ANSI 字元 (例如 windows-1250) 如果您將此選項保持為空白則訊息會以 ACSII 7 位元轉換並編碼 (例如 " á" 會變更為 " a" 未知符號會變更為 "?") 使用本機字元編碼 - 電子郵件訊息來源會編碼為 Quoted-printable (QP) 格式此格式會使用 ASCII 字元並正確透過電子郵件以 8 位元格式 (áéíóú) 傳輸特殊國家字元隔離區隔離區的主要功能是安全地儲存受感染檔案對於無法清除無法安全刪除或不建議刪除的檔案或者 ESET Endpoint Antivirus 錯誤偵測到的檔案應該予以隔離您可以選擇隔離任何檔案如果檔案行為可疑但防毒掃描器沒有偵測到則建議進行隔離您可將隔離的檔案提交至 ESET 病毒實驗室進行分析您可以在表格中檢視隔離資料夾中儲存的檔案其中顯示隔離的日期與事件受感染檔案原始位置的路徑大小 (以位元組為單位) 原因 (例如由使用者新增... ) 以及威脅數量 (例如包含多個入侵的壓縮檔) 隔離檔案 ESET Endpoint Antivirus 會自動隔離刪除的檔案 (如果您尚未在警告視窗中停用此選項) 如果需要您可以按一下 [ 隔離區] 手動隔離任何可疑檔案原始檔案會從原始位置移除內容功能表也可用於此目的 -以滑鼠右鍵按一下 [ 隔離區] 視窗並選取 [ 隔離] 從隔離區還原隔離的檔案還可還原至其原始位置若要還原隔離的檔案在 [隔離區] 視窗中以滑鼠右鍵按一下檔案並從內容功能表選取 [ 還原] 如果檔案標記潛在不需要的應用程式也可以使用 [ 還原並從掃描中排除] 內容功能表還包含 [ 還原到... ] 選項 79

80 可讓您將檔案還原到其原始刪除位置外的其他位置從隔離區中刪除 - 以滑鼠右鍵按一下指定項目並選取 [ 從隔離區中刪除] 除] 您也可以選取多個項目將其一起刪除或選取您要刪除的項目並按下鍵盤上的 [ 刪附註: 如果程式錯誤地隔離了無害檔案請在還原後從掃描中排除檔案並將該檔案傳送至 ESET 客戶服務從隔離區提交檔案如果您已隔離程式未偵測到的可疑檔案或錯誤將檔案偵測為威脅且因此隔離請將檔案傳送至 ESET 病毒實驗室若要從隔離提交檔案請在檔案上按一下滑鼠右鍵並從內容功能表選取 [ 提交檔案以供分析] Microsoft Windows 更新 Windows Update 功能是保護使用者遠離惡意軟體的重要元件因此當有可用的 Microsoft Windows 更新時立即安裝更新是很重要的 ESET Endpoint Antivirus 會根據指定的層級通知您遺漏的更新以下是可用的層級無更新 - 不提供系統更新下載選用更新 - 提供下載標記為低與更高優先順序的更新建議更新 - 提供下載標記為一般與更高優先順序的更新重要更新 - 提供下載標記為重要與更高優先順序的更新重大更新 - 只提供重大更新下載按一下 [ 確定] 儲存變更在與更新伺服器進行狀態驗證之後會顯示 [系統更新] 視窗因此在儲存變更之後可能不會立即出現系統更新資訊使用者介面 [ 使用者介面] 區段可讓您配置程式圖形使用者介面 (GUI) 的行為使用使用者介面元素工具就可以調整程式的視覺外觀與使用的效果為了提供您安全軟體最大的安全性您可以使用存取設定工具以防止任何未經授權的變更配置警告及通知就可以變更已偵測到的威脅警告及系統通知的行為這些全都可以自訂以符合您的需求如果您選擇不顯示某些通知則這些通知就會顯示於 [ 使用者介面元素] > [ 應用程式狀態] 您可以在此檢查其狀態或者防止顯示這些通知以滑鼠右鍵按一下選取的物件之後即會顯示內容功能表整合使用此工具以將 ESET Endpoint Antivirus 控制項元素整合至內容功能表簡報模式可協助使用者不會受到快顯視窗已排程工作及可能增加處理器與 RAM 負擔的任何元件中斷作業使用者介面元素 ESET Endpoint Antivirus 中的使用者介面配置選項可讓您調整工作環境以符合您的需要在 ESET Endpoint Antivirus [進階設定] 樹狀目錄的 [ 使用者介面] > [ 使用者介面元素] 子目錄中可存取這些配置選項您可以在 [ 使用者介面元素] 區段中調整工作環境使用 [ GUI 啟動模式] 下拉式功能表從下列圖形使用者介面 (GUI) 啟動模式中選取完整 - 將會顯示完整的圖形使用者介面 (GUI) 最小 - GUI 可以使用但僅向該使用者顯示通知手動 - 不會顯示任何通知或警告無訊息 - 不會顯示 GUI 也不會顯示任何通知或警告在您需要保留系統資源的情況下這個模式會非常實用無訊息模式只能由管理員啟動附註: 一旦選取 [最小 GUI 啟動模式] 且重新啟動電腦之後則會顯示通知但不會顯示圖形介面若要還原為完整圖形使用者介面模式請從 [開始] 功能表的 [ 所有程式] > [ E S E T] > ESET Endpoint Antivirus 之下以管理員的身分執行 GUI 或者您可以透過 ESET Remote Administrator 使用原則來還原如果您要停用 ESET Endpoint Antivirus 開機歡迎畫面請取消選取 [ 啟動時顯示開機歡迎畫面] 80

若要 ESET Endpoint Antivirus 在掃描期間發生重大事件 (例如當發現威脅或掃描結束) 時播放音效請選取 [ 使用聲音信號提示] 整合至內容功能表 - 將 ESET Endpoint Antivirus 控制項元素整合至內容功能表狀態應用程式狀態 - 按一下 [ 編輯] 以管理 (停用)

81 若要 ESET Endpoint Antivirus 在掃描期間發生重大事件 (例如當發現威脅或掃描結束) 時播放音效請選取 [ 使用聲音信號提示] 整合至內容功能表 - 將 ESET Endpoint Antivirus 控制項元素整合至內容功能表狀態應用程式狀態 - 按一下 [ 編輯] 以管理 (停用) 顯示在主要功能表防護狀態窗格中顯示的狀態授權資訊顯示授權資訊 - 停用時將不會顯示 [ 防護狀態] 和 [ 說明及支援] 畫面上的授權資訊顯示授權訊息和通知 - 停用時通知和訊息僅會在授權過期時顯示附註: 將套用授權資訊設定但使用 MSP 授權啟動的 ESET Endpoint Antivirus 無法存取 81

82 存取設定為了提供系統最大的安全性需要正確配置 ESET Endpoint Antivirus 任何不合格的變更都會導致重要資料遺失為了避免未獲授權的修改您可以使用密碼保護 ESET Endpoint Antivirus 的設定參數密碼保護的配置設定位於 [ 存取設定] > [ 使用者介面] 之下的 [ 進階設定] (F5) 密碼保護設定 - 指出密碼設定按一下以開啟 [密碼設定] 視窗若要設定或變更密碼以保護設定參數請按一下 [ 設定] 受限管理員帳號需要完整的管理員權限 - 保持此選項啟用以在修改特定系統參數時提示現有使用者 (如果沒有管理員權限的話) 輸入管理員使用者名稱及密碼 (與 Windows Vista 中的 UAC 相似) 這些修改包括停用防護模組僅限 Windows XP 需要管理員權限 (沒有 UA C 支援的系統) - 啟用此選項讓 ESET Endpoint Antivirus 提示要求管理員憑證 82

83 警告及通知 [ 使用者介面] 下的 [ 警告及通知] 區段可讓您配置 ESET Endpoint Antivirus 如何處理威脅警告與系統通知 (例如成功更新訊息) 您也可以設定顯示時間及系統匣通知的透明度 (這僅適用於支援系統匣通知的系統) 警告視窗停用 [ 顯示警示] 會取消所有警告視窗且僅適用於有限的指定情況中對於大部分使用者而言我們建議保留此選項的預設值 (啟用) 桌面通知桌面及球形提示上的通知僅提供資訊不需要使用者介入它們會顯示在畫面右下角的通知區域中若要啟動桌面通知請選取 [ 於桌面顯示通知] 開啟 [ 以全螢幕模式執行應用程式時不顯示通知] 以強制不顯示所有非互動通知可在以下修改更多詳細選項如通知顯示時間及視窗透明度 [ 最簡化要顯示的事件] 下拉式功能表中允許您可以選取要顯示的警告及通知嚴重性層級可用選項如下診斷資訊警告錯誤嚴重 - 要微調程式和上述的所有記錄所需的防護記錄資訊 - 記錄資訊性訊息包含成功更新訊息及上述所有記錄 - 記錄嚴重錯誤及警告訊息 - 記錄諸如下載檔案時發生錯誤等類型的錯誤及嚴重錯誤 - 僅記錄嚴重錯誤 (啟動病毒防護等時發生錯誤) 此區段的最後一個功能可讓您配置多個使用者環境的通知目的地 [ 在多個使用者的系統中在此使用者的畫面中顯示通知] 欄位可針對允許多位使用者同時連接的系統指定要接收系統通知與其他通知的使用者通常為系統或網路的管理員如果將所有系統通知都傳送給管理員則此選項特別適用於終端機伺服器訊息方塊若要在某段時間內自動關閉快顯視窗請選取 [ 自動關閉訊息方塊] 如果不手動關閉這些視窗則經過指定時間後將自動關閉警告視窗確認訊息 - 向您顯示確認訊息的清單並可讓您選取是否要顯示 83

封鎖所有網路流量您可按一下 [ 停止封鎖所有網路流量] 以再次啟用進階設定 - 選取此選項以進入 [ 進階設定] 樹狀目錄您也可以按 F5 鍵或瀏覽至 [ 設定] > [ 進階設定] 以存取 [進階設定] 防護記錄檔案 -

84 系統匣圖示以滑鼠右鍵按一下系統匣圖示可以使用某些最重要的設定選項及功能暫停防護 - 顯示停用病毒及間諜程式防護的確認對話方塊此功能藉由控制檔案 Web 和電子郵件通訊防止攻擊 [ 時間間隔] 下拉式功能表顯示病毒及間諜程式防護停用的期間封鎖所有網路流量 - 封鎖所有網路流量您可按一下 [ 停止封鎖所有網路流量] 以再次啟用進階設定 - 選取此選項以進入 [ 進階設定] 樹狀目錄您也可以按 F5 鍵或瀏覽至 [ 設定] > [ 進階設定] 以存取 [進階設定] 防護記錄檔案 - 防護記錄檔案包含所有已發生之重要程式事件的相關資訊並提供偵測到之威脅的概觀隱藏 E S E T E ndpoint A nt iv irus - 隱藏螢幕上的 ESET Endpoint Antivirus 視窗重設視窗配置 - 將 ESET Endpoint Antivirus 的視窗重設為螢幕上的預設大小及位置病毒資料庫更新 - 啟動更新病毒資料庫作業以確保您對抗惡意程式碼的防護層級關於 - 提供系統資訊 ESET Endpoint Antivirus 已安裝版本的詳情以及已安裝的程式模組和您的授權到期日期您可以在頁面底部找到作業系統和系統資源的相關資訊 84

85 內容功能表以滑鼠右鍵按一下物件 (檔案) 之後會顯示內容功能表功能表會列出您可以對物件執行的所有動作可以將 ESET Endpoint Antivirus 控制項元素整合至內容功能表在 [ 使用者介面] > [ 使用者介面元素] 下的 [進階設定] 樹狀目錄中可以使用此功能的設定選項整合至內容功能表 - 將 ESET Endpoint Antivirus 控制項元素整合至內容功能表 3.10 進階使用者設定檔管理程式設定檔管理程式是用於 ESET Endpoint Antivirus 中的兩個區段 -[ 指定電腦掃描] 區段和 [ 更新] 區段指定電腦掃描您偏好的掃描參數可儲存供未來掃描時使用我們建議您盡量為定期進行的掃描建立不同設定檔 (含有各種掃描目標掃描方法及其他參數) 若要建立新的設定檔請開啟 [進階設定] 視窗 (F5) 然後按一下 [ 病毒防護] > [ 指定電腦掃描] 然後按一下 [ 設定檔清單] 旁的 [ 編輯] 列出現有掃描設定檔的 [ 已選取的設定檔] 下拉式功能表若要協助您建立掃描設定檔以符合您的需求請參閱 ThreatSense 引擎參數設定一節以取得每個掃描設定參數的說明範例假設您要建立您自己的掃描設定檔且智慧型掃描配置有部份適用但不要掃描運行時間壓縮器或潛在不安全的應用程式並且要套用 [ 完全清除] 在 [ 設定檔管理程式] 視窗中輸入新設定檔的名稱並按一下 [ 新增] 從 [ 已選取的設定檔] 下拉式功能表中選取新設定檔並調整剩餘的參數以符合您的需求接著按一下 [ 確定] 以儲存新的設定檔更新 [更新] 設定區段中的設定檔編輯器可讓使用者建立新的更新設定檔請只有在您的電腦使用多種方法來連接更新伺服器時才建立及使用您自己的自訂設定檔 (亦即預設 [ 我的設定檔] 以外的其他設定檔) 其中一個例子就是膝上型電腦它通常會連接至區域網路中的本機伺服器 (Mirror) 但是與區域網路中斷連線 (出差) 時需要直接從 ESET 的更新伺服器下載更新並使用兩種設定檔第一個連接至本機伺服器另一個連接至 ESET 的伺服器在設定這些設定檔之後請瀏覽至 [ 工具] > [ 排程器] 並編輯更新工作參數指定一個設定檔為主要設定檔另一個為次要設定檔已選取的設定檔 - 目前使用的更新設定檔若要變更請從下拉式功能表選擇設定檔設定檔清單 - 建立新的設定檔或移除現有的更新設定檔 85

3.10.2 診斷診斷可提供 ESET 處理程序 (例如 ek rn) 的應用程式當機傾印如果應用程式當機就會產生傾印這可以協助開發人員除錯和修正各種 ESET Endpoint Antivirus 問題按一下 [ 傾印類型] 旁的下拉式功能表並從三個可用選項中選取一個選取 [ 停用] (預設) 來停用這項功能最小 - 記錄最低限度的有用資訊

86 診斷診斷可提供 ESET 處理程序 (例如 ek rn) 的應用程式當機傾印如果應用程式當機就會產生傾印這可以協助開發人員除錯和修正各種 ESET Endpoint Antivirus 問題按一下 [ 傾印類型] 旁的下拉式功能表並從三個可用選項中選取一個選取 [ 停用] (預設) 來停用這項功能最小 - 記錄最低限度的有用資訊可用來協助識別應用程式意外當機的原因如果空間有限這種傾印檔案就很有助益然而因為資訊受限所以分析此檔案時可能會找不到發生問題時並非由正在執行之執行緒直接造成的錯誤完整 - 記錄系統記憶體在應用程式意外停止時的所有內容完整記憶體傾印可能包含收集記憶體傾印時正在執行之處理程序的內容啟用通訊協定過濾進階記錄 - 以 PCAP 格式記錄所有通過通訊協定過濾引擎的資料以協助開發人員診斷及修正通訊協定過濾的相關問題您可以在以下路徑中找到防護記錄檔案 Windows Vista 和更新版的 C:\P rogram Data\E S E T\E S E T S m art S ec urity \Diagnos tic s \ 或舊版 Windows 的 C:\Doc um ents and S ettings \A ll Us ers \... 目標目錄 - 在當機期間產生傾印的目錄開啟診斷資料夾 - 按一下 [ 開啟] 在新的 [W indows 檔案總管 ] 視窗內開啟此目錄匯入及匯出設定您可從 [ 設定] 功能表匯入或匯出您的自訂 ESET Endpoint Antivirus.xml 配置檔案如果您必須備份 ESET Endpoint Antivirus 的目前配置以供日後使用匯入與匯出配置檔案功能則十分有用匯出設定選項對想要在多個系統上使用慣用配置的使用者也很方便他們可以輕鬆匯入.x m l 檔案以傳送這些設定匯入配置很簡單從主要程式視窗中按一下 [ 設定] > [ 匯入/ 匯出設定] 然後選取 [ 匯入設定] 輸入配置檔案的名稱或按一下 [... ] 按鈕以瀏覽您要匯入的配置檔案匯出配置的步驟非常類似從主要程式視窗中按一下 [ 設定] > [ 匯入/ 匯出設定] 選取 [ 匯出設定] 並輸入配置檔案的檔案名稱 (即 ex port.x m l) 使用瀏覽器選取在電腦上儲存配置檔案的位置附註如果您沒有足夠的權限將匯出檔案寫入指定目錄則可能會在匯出設定時遭遇錯誤 86

87 命令列 ESET Endpoint Antivirus 的防毒模組可以透過命令列來啟動具體方法可以是手動 (使用 ecls 命令) 或使用批次 ( bat ) 檔 ESET 命令列掃描器用法 ecls [OPTIONS..]FILES.. 從命令列執行指定掃描器時可以使用下列參數及切換參數選項 /base-dir=folder /quar-dir=folder /exclude=mask /subdir /no-subdir /max-subdir-level=level /symlink /no-symlink /ads /no-ads /log-file=file /log-rewrite /log-console /no-log-console /log-all /no-log-all /aind /auto 從資料夾 (FOLDER) 載入模組隔離資料夾 (FOLDER) 從掃描中排除符合遮罩 (MASK) 的檔案掃描子資料夾 (預設值) 不掃描子資料夾待掃描資料夾中的最大資料夾子層級數目跟循符號連結 (預設值) 略過符號連結掃描 ADS (預設值) 不掃描 ADS 將輸出記錄至檔案 (FILE) 覆寫輸出檔 (預設值 -附加) 在主控台記錄輸出 (預設值) 不在主控台記錄輸出也記錄清除檔案不記錄清除檔案 (預設值) 顯示活動指示器掃描所有本機磁碟並自動清除病毒掃描器選項 /files /no-files /memory /boots /no-boots /arch /no-arch /max-obj-size=size /max-arch-level=level /scan-timeout=limit /max-arch-size=size /max-sfx-size=size /mail /no-mail /mailbox /no-mailbox /sfx /no-sfx /rtp /no-rtp /unsafe /no-unsafe /unwanted /no-unwanted /suspicious /no-suspicious /pattern /no-pattern 掃描檔案 (預設值) 不掃描檔案掃描記憶體掃描開機磁區不掃描開機磁區 (預設值) 掃描壓縮檔 (預設值) 不掃描壓縮檔只掃描小於指定大小 (SIZE 單位 MB) 的檔案 (預設值 0 = 無限制) 待掃描壓縮檔 (巢狀壓縮檔) 內的最大壓縮檔層級掃描壓縮檔的最多時間限制 (LIMIT 單位 (秒)) 僅掃描在壓縮檔中小於指定大小 (SIZE) 的檔案 (預設值 0 = 無限制) 只掃描在自我解壓檔中小於指定大小 (SIZE 單位 MB) 的檔案 (預設值 0 = 無限制) 掃描電子郵件檔案 (預設值) 不掃描電子郵件檔案掃描信箱 (預設值) 不掃描信箱掃描自我解壓檔 (預設值) 不掃描自我解壓檔掃描運行時間壓縮器 (預設值) 不掃描運行時間壓縮器掃描潛在不安全的應用程式不掃描潛在不安全的應用程式 (預設值) 掃描潛在不需要應用程式不掃描潛在不需要程式 (預設值) 掃描可疑的應用程式 (預設值) 不掃描可疑的應用程式使用簽章 (預設值) 不使用簽章 87

88 /heur /no-heur /adv-heur /no-adv-heur /ext=extensions /ext-exclude=extensions /clean-mode=mode /quarantine /no-quarantine 啟用啟發式 (預設值) 停用啟發式啟用進階啟發式 (預設值) 停用進階啟發式只掃描以冒號分隔的副檔名 (EXTENSIONS) 從掃描中排除以冒號分隔的副檔名 (EXTENSIONS) 針對受感染物件使用清除模式可用選項如下 none - 將不會進行自動清除 standard (預設值) - ecls.exe 將嘗試自動清除或刪除受感染的檔案 strict - ecls.exe 將嘗試在沒有使用者介入的情況下自動清除或刪除受感染的檔案 (在刪除檔案前系統不會提醒您) rigorous - ecls.exe 無論檔案為何將會刪除檔案而不嘗試清除 delete - ecls.exe 將刪除檔案而不嘗試清除但會避免刪除敏感的檔案例如 Windows 系統檔案複製受感染檔案 (如果已清除) 到隔離區 (補充清除時執行的處理方法) 不要複製受感染檔案到隔離區一般選項 /help /version /preserve-time 顯示說明並結束顯示版本資料並結束保存最後一次的存取時間郵戳結束代碼找不到威脅找到威脅並已清除無法掃描某些檔案 (可能是威脅) 找到威脅錯誤附註大於 100 的結束代碼表示未掃描檔案檔案可能已受感染閒置狀態偵測閒置狀態偵測設定可在 [ 病毒防護] > [ 閒置狀態掃描] > [ 閒置狀態偵測] 下的 [ 進階設定] 中配置這些設定可指定在以下狀況下觸發閒置狀態掃描螢幕保護程式執行中電腦已鎖住使用者已登出使用各種狀態的切換以啟用或停用不同閒置狀態偵測觸發 E SE T SysI nspector E SE T SysI nspector 簡介 ESET SysInspector 是會徹底檢查電腦並完整地顯示所收集資料的應用程式諸如已安裝驅動程式及應用程式網路連線或重要登錄項目等資訊可協助您調查可疑系統行為是肇因於軟體或硬體不相容還是惡意軟體感染有兩種方法可存取 ESET SysInspector 從 ESET Security 解決方案中整合的版本或從 ESET 的網站下載獨立的版本 (SysInspector.exe) 這兩種版本在功能方面完全相同而且有相同的程式控制項唯一的差別在於管理輸出的方式獨立的版本和整合的版本分別讓您將系統快照匯出為.x m l 檔和儲存於磁碟不過整合的版本還可讓您將系統快照直接儲存於 [ 工具] > [ E S E T S y s Ins pec t or] (ESET Remote Administrator 除外) 如需詳細資訊請參閱 ESET SysInspector 是 ESET Endpoint Antivirus 的一部分一節請等候 ESET SysInspector 掃描電腦視硬體配置作業系統和電腦上安裝的應用程式數目而定這可能需要 10 秒到幾分鐘的時間 88

3.10.6.1.1 啟動 E SE T SysI nspector 若要啟動 ESET SysInspector 只要執行從 ESET 網站下載的 S y s Ins pec tor.

89 啟動 E SE T SysI nspector 若要啟動 ESET SysInspector 只要執行從 ESET 網站下載的 S y s Ins pec tor.ex e 執行檔即可如果您已安裝任一款 ESET Security 解決方案可以直接從 [開始] 功能表執行 ESET SysInspector (按一下 [ 程式] > [ E S E T] > [ E S E T E ndpoint A nt iv irus ] ) 應用程式檢查系統時請稍候這可能需花費數分鐘使用者介面和應用程式使用為清楚起見主要程式視窗分為四個主要區段位於主要程式視窗頂端的程式控制位於中間左側的瀏覽視窗位於右側的說明視窗以及位於主要程式視窗底部的詳細資料視窗 [防護記錄狀態] 區段列出防護記錄的基本參數 (使用的過濾器過濾器類型防護記錄是否為比較的結果等) 程式控制項本小節包含 ESET SysInspector 中所有可用程式控制的說明檔案只要按一下 [ 檔案] 即可儲存您目前的系統狀態作為稍後調查之用或是開啟先前儲存的防護記錄如果您要發行防護記錄我們建議您產生適合傳送的防護記錄在此格式中此形式的防護記錄將會省略機密資訊 (目前的使用者名稱電腦名稱網域名稱目前的使用者權限環境變數等) 附註您可以開啟先前儲存的 ESET SysInspector 報告只要將報告拖放至主要程式視窗即可樹狀結構讓您可以展開或關閉所有節點並且可以將選取的區段匯出成服務腳本 89

90 清單包含可在程式內更輕鬆瀏覽的功能以及各類其他功能例如尋找線上資訊說明包含應用程式及其功能的相關資訊詳情此設定影響在主要程式視窗顯示的資訊讓您更加輕鬆使用資訊在基本模式下您可以存取用來尋找系統常見問題的解決方案資訊在中等模式中程式會顯示不常使用的詳情在完整模式中 ESET SysInspector 會顯示解決專門問題的所有必要資訊過濾項目過濾最適用於尋找系統中的可疑檔案或登錄項目透過調整滑桿您可以依據風險層級過濾項目如果滑桿被設定至最左邊 (風險層級 1) 則所有項目都會顯示藉由將滑桿移動至右邊程式會濾除所有風險低於目前風險等級的項目只出現比顯示的層級更可疑的項目當滑桿移至最右邊程式僅顯示已知的有害項目所有標示為風險範圍 6 至 9 的項目都會引起安全性風險如果你正在使用 ESET 安全性解決方案如果 ESET SysInspector 找到任何此類項目我們建議您使用 ESET Online Scanner 掃描系統 ESET Online Scanner 是免費的服務附註透過比較項目的顏色與風險層級滑桿上的顏色可快速判定項目的風險層級比較在比較兩筆防護記錄時您可以選擇顯示所有項目只顯示新增項目只顯示移除的項目或只顯示已取代的項目尋找搜尋可用來根據特定項目的名稱或部分名稱快速尋找該項目搜尋要求的結果會顯示在 [說明] 視窗中返回按一下 [返回] 和 [下一個] 箭號您可返回至先前 [說明視窗] 中顯示的資訊您可以使用退格鍵和空白鍵取代按一下 [返回] 和 [下一個] 狀態區段顯示 [瀏覽視窗] 中目前的節點重要以紅色反白顯示的項目是未知的這就是程式將其標記為潛在危險的原因即使項目是紅色的也不表示您可以刪除該檔案刪除之前請確定檔案確實是危險或不必要的在 E SE T SysI nspector 中瀏覽 ESET SysInspector 會將各類型的資訊分為數個基本區段稱為節點將每個節點展開至子節點就可以找到更多詳情 (如果有的話) 若要開啟或折疊節點連按兩下節點名稱或者按一下節點名稱旁的或當您在 [瀏覽] 視窗中透過節點和子節點的樹狀結構進行瀏覽時您會發現 [說明] 視窗中會顯示每個節點的各種詳情如果您在 [說明視窗] 中瀏覽項目則每個項目的其他詳情會顯示在 [詳情視窗] 中以下說明有關瀏覽視窗的主節點以及說明視窗和詳情視窗的相關資訊執行中的處理程序此節點包含產生防護記錄時執行之應用程式及處理程序的相關資訊在 [說明視窗] 中您會找到更多關於每個程序的詳情如程序使用的動態程式庫及其在系統中的位置應用程式供應商的名稱檔案的風險等級等等 [詳情視窗] 包含 [說明視窗] 中所選取項目的其他資訊例如檔案大小或雜湊附註作業系統由數種從不間斷執行的重要核心元件構成並提供其他使用者應用程式基本且必要的功能在特定情況下此類處理程序會顯示於工具 ESET SysInspector 中其檔案路徑以 \??\ 開始那些符號提供程序啟動前的最佳化這個動作對系統無害 90

91 網路連線 [說明視窗] 包含使用 [瀏覽視窗] 中選取的通訊協定 (TCP 或 UDP) 透過網路進行通訊的程序和應用程式清單以及應用程式要連接的遠端位址您也可以查看 DNS 伺服器的 IP 位址 [詳情視窗] 包含 [說明視窗] 中所選取項目的其他資訊例如檔案大小或雜湊重要登錄項目包含所選取登錄項目的清單通常與各種系統問題相關例如指定啟動程式瀏覽器 Helper 物件 (BHO) 等等在 [說明視窗] 中您可以找到與特定登錄項目相關的檔案您可以在 [詳情視窗] 中看到其他詳情服務 [說明視窗] 包含登錄為 Windows 服務的檔案清單您可以檢查服務設定啟動的方式並在 [詳情] 視窗中檢查檔案的特定詳情驅動程式系統上所安裝的驅動程式清單重要檔案 [說明視窗] 顯示與 Microsoft Windows 作業系統相關的重要檔案內容系統排程任務包含 Windows 工作排程器在指定時間/ 間隔觸發的工作清單系統資訊包含硬體及軟體的詳情以及設定環境變數使用者權限及系統事件防護記錄的相關資訊檔案詳情重要系統檔案及 Program Files 資料夾中檔案的清單檔案特定的其他資訊可在 [說明視窗] 和 [詳情視窗] 中找到關於 ESET SysInspector 版本與程式模組清單的相關資訊鍵盤快捷鍵使用 ESET SysInspector 時可使用的鍵盤捷徑包括檔案 Ctrl+O Ctrl+S 開啟現有的防護記錄儲存建立的防護記錄產生 Ctrl+G Ctrl+H 產生標準電腦狀態快照產生可記錄敏感資料的電腦狀態快照項目過濾 1? O U B 8 良好會顯示風險層級良好會顯示風險層級良好會顯示風險層級未知會顯示風險層級未知會顯示風險層級未知會顯示風險層級危險會顯示風險層級危險會顯示風險層級 1-9 的項目 2-9 的項目 3-9 的項目 4-9 的項目 5-9 的項目 6-9 的項目 7-9 的項目 8-9 的項目 91

92 9 + Ctrl+9 Ctrl+0 危險會顯示風險層級 9 的項目降低風險層級增加風險層級過濾模式同等級或更高過濾模式僅同等級檢視 Ctrl+5 Ctrl+6 Ctrl+7 Ctrl+3 Ctrl+2 Ctrl+1 退格鍵空格鍵 Ctrl+W Ctrl+Q 依供應商檢視所有供應商依供應商檢視僅 Microsoft 依供應商檢視所有其他供應商顯示完整詳情顯示中等詳情基本顯示向前移動一步向後移動一步展開樹狀結構收合樹狀結構其他控制項 Ctrl+T Ctrl+P Ctrl+A Ctrl+C Ctrl+X Ctrl+B Ctrl+L Ctrl+R Ctrl+Z Ctrl+F Ctrl+D Ctrl+E 在搜尋結果中選取之後移至項目的原始位置顯示項目的基本資訊顯示項目的完整資訊複製目前項目的樹狀結構複製項目尋找網際網路上所選取檔案的相關資訊開啟選取之檔案所在的資料夾開啟登錄編輯器中的對應項目複製檔案的路徑 (如果項目與檔案相關) 切換至搜尋欄位關閉搜尋結果執行服務腳本比較 Ctrl+Alt+O Ctrl+Alt+R Ctrl+Alt+1 Ctrl+Alt+2 Ctrl+Alt+3 Ctrl+Alt+4 Ctrl+Alt+5 Ctrl+Alt+C Ctrl+Alt+N Ctrl+Alt+P 開啟原始/ 比較防護記錄取消比較顯示所有項目只顯示新增的項目防護記錄會顯示目前防護記錄中存在的項目只顯示移除的項目防護記錄會顯示前一個防護記錄中存在的項目只顯示已取代的項目 (包括檔案) 只顯示防護記錄之間的差異顯示比較顯示目前防護記錄開啟前一個防護記錄其他選項 F1 Alt+F4 Alt+Shift+F4 Ctrl+I 92 檢視說明關閉程式不詢問即關閉程式防護記錄統計

93 比較比較功能可以讓使用者比較兩份現有的防護記錄此功能的比較結果是不通用於兩個防護記錄的一組項目如果您要追蹤系統的變更此功能非常適合 -是偵測惡意程式的實用工具功能啟動後應用程式會建立新的防護記錄該防護記錄會在新的視窗中顯示按一下 [ 檔案] > [ 儲存防護記錄] 將防護記錄儲存至檔案防護記錄檔案可在稍後開啟並檢視若要開啟現有的防護記錄請按一下 [ 檔案] > [ 開啟防護記錄] 在主程式視窗中 ESET SysInspector 會一次顯示一份防護記錄比較此兩筆防護記錄的好處是您可以檢視目前作用中的防護記錄以及儲存於檔案中的防護記錄若要比較防護記錄請按一下 [ 檔案] > [ 比較防護記錄] 然後選擇 [ 選取檔案] 選取的防護記錄會與主要程式視窗中的作用中防護記錄進行比較該相較防護記錄將只顯示兩筆防護記錄之間的差異附註如果您要比較兩份防護記錄檔案請按一下 [ 檔案] > [ 儲存防護記錄] 然後儲存成 ZIP 檔案則會儲存兩個檔案如果您稍後開啟這類檔案內含的防護記錄就會自動進行比較在所顯示項目的旁邊 ESET SysInspector 會顯示識別所比較防護記錄之間差異的符號可在項目旁邊顯示之所有符號的說明新值不存在於前一個防護記錄中樹狀結構區段包含新值移除的值只存在於前一份防護記錄中樹狀結構區段包含移除的值值/ 檔案已變更樹狀結構區段包含修改的值/ 檔案已降低風險層級/ 它在前一個防護記錄中較高已增加風險層級/ 它在前一個防護記錄中較低在左下角顯示的說明區段會說明所有符號並顯示要比較之防護記錄的名稱任何比較防護記錄都可以儲存至檔案並在稍後開啟範例產生記錄系統原始資訊的防護記錄並將其儲存至名為 previous.xml 的檔案在變更系統之後開啟 ESET SysInspector 並讓其產生新的防護記錄將其儲存至名為 c urrent.x m l 的檔案為追蹤這兩份防護記錄間的變更請按一下 [ 檔案] > [ 比較防護記錄] 程式會建立比較防護記錄顯示防護記錄之間的差異如果使用下列命令列選項也可達到相同的結果 S y s Is npec tor.ex e c urrent.x m l prev ious.x m l 93

94 命令列參數 ESET SysInspector 支援透過使用這些參數的命令列產生報告 / gen / priv ac y / z ip / s ilent / blank 直接從指令列產生防護記錄而不執行 GUI 產生忽略敏感資料的防護記錄在 zip 壓縮檔中儲存結果防護記錄從指令列產生防護記錄時隱藏處理視窗 - 啟動 ESET SysInspector 而不產生/ 載入防護記錄範例用法 Sysinspector.exe [load.xml] [/gen=save.xml] [/privacy] [/zip] [compareto.xml] 若要將特定防護記錄直接載入至瀏覽器用法如下 S y s Ins pec tor.ex e.\c lientlog.x m l 若要從指令列產生防護記錄用法如下 S y s Ins pec tor.ex e /gen=.\m y newlog.x m l 若要以壓縮檔方式直接產生排除敏感資訊的防護記錄用法如下 S y s Ins pec tor.ex e /gen=.\m y newlog.z ip /priv ac y /z ip 若要比較兩個防護記錄檔並瀏覽差異用法如下 S y s Ins pec tor.ex e new.x m l old.x m l 附註如果檔案/ 資料夾的名稱包含空白則應將其放在引號中服務腳本服務腳本是專為使用 ESET SysInspector 的客戶所提供協助的工具可輕鬆移除系統中不需要的物件服務腳本可讓使用者匯出整個 ESET SysInspector 防護記錄或所選取的部分匯出後您可以標記不需要的部份以便進行刪除然後您可以執行修改過的防護記錄以刪除標記的物件服務腳本適用於之前具有診斷系統問題經驗的進階使用者不合格的修改可能會導致作業系統損毀範例如果您懷疑電腦已感染病毒但防毒程式沒有偵測到請遵循以下逐步說明執行 ESET SysInspector 以產生新的系統快照選取左側 (樹狀結構中) 區段中的第一個項目按下 Shift 鍵並選取最後一個項目以標記所有項目在選取的物件上按一下滑鼠右鍵並選取 [ 將選取的區段匯出至服務腳本] 選取的物件會匯出至新的防護記錄下列是整個程序的最重要步驟開啟新的防護記錄並將您想要移除的所有物件 -屬性變更成 + 請確認您沒有標記任何重要的作業系統檔案/ 物件 6. 開啟 ESET SysInspector 按一下 [ 檔案] > [ 執行服務腳本] 然後輸入腳本的路徑 7. 按一下 [ 確定] 以執行腳本產生服務腳本若要產生腳本請在 ESET SysInspector 主視窗中以滑鼠右鍵按一下功能表樹狀結構 (左側窗格) 中的任何項目接著在內容功能表中選取 [ 將所有區段匯出至服務腳本] 或 [ 將選取的區段匯出至服務腳本] 附註在比較兩份防護記錄時無法匯出服務腳本服務腳本的結構您可以在腳本檔頭的第一行發現引擎版本 (ev) GUI 版本 (gv) 及防護記錄版本 (lv) 的相關資訊這些資料可讓您追蹤產生腳本之. xml 檔案中可能存在的變更以避免在執行期間發生任何不一致的情況請勿改動腳本的此部分檔案的其他部分可分為多個區段而這些區段中的項目是可編輯的項目 (表示將由腳本處理的項目) 將項目前的字元取代為 + 字元可將項目標記為要處理的項目腳本中的各個區段是以空白的文字行做為區隔每個區段都有各自的編號和標題 01) 執行中的處理程序此區段包含系統中所有執行之程序的清單每個程序均可透過其 UNC 路徑及隨後之星號 (*) 間的 CRC16 雜湊碼加以識別 94

95 範例 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...] 在此範例中 module32.exe 程序已經過選取 (前端有 + 字元標記) 程序將在執行腳本後結束 02) 載入的模組此區段可列出目前使用的系統模組範例 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...] 在此範例中 khbekhb.dll 模組前有 + 標記執行腳本時腳本能使用該特定的模組來辨識程序及結束程序 03) TCP 連線此區段含有和現有 TCP 連線相關的資訊範例 03) TCP connections: - Active connection: : > :55320, owner: ekrn.exe - Active connection: : > :50006, - Active connection: : > :30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...] 執行腳本時腳本能尋找已標記之 TCP 連線的通訊端擁有者接著再停止通訊端以釋放系統資源 04) UDP 端點此區段含有和現有 UDP 端點相關的資訊範例 04) UDP endpoints: , port 123 (ntp) , port , port 4500 (ipsec-msft) , port 500 (isakmp) [...] 執行腳本時腳本能隔離已標記之 UDP 端點上的通訊端擁有者然後再停止通訊端 05) DNS 伺服器項目此區段含有和目前 DNS 伺服器配置相關的資訊範例 05) DNS server entries: [...] 執行腳本時已標記的 DNS 伺服器項目會遭到移除 06) 重要登錄項目此區段含有和重要登錄項目相關的資訊 95

96 範例 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = [...] 執行腳本時已標記的項目將遭到刪除減少為 0 位元值或重設其預設值要套用至特定項目的處理方法取決於項目類別和特定登錄中的機碼值 07) 服務此區段可列出系統內的已登錄服務範例 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...] 執行腳本時已標記之服務與其相依服務均會遭到停止及解除安裝 08) 驅動程式此區段可列出已安裝的驅動程式範例 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32 \drivers\adihdaud.sys, state: Running, startup: Manual [...] 您執行腳本時選取的驅動程式將停止請注意部分驅動程式不允許自己停止 09) 重要檔案此區段含有和作業系統正常運作所需重要之檔案相關的資訊範例 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts localhost - ::1 localhost [...] 選取的項目將遭到刪除或重設為原始的值 96

97 執行服務腳本標記所有需要的項目接著再儲存及關閉腳本選取 [檔案] 功能表中的 [ 執行服務腳本] 選項可直接從 ESET SysInspector 主視窗執行編輯過的腳本開啟腳本時程式會顯示下列訊息以資提示您確定要執行服務腳本 %S c ript name% 嗎確認您選取的項目後畫面中會出現另一則警告通知您嘗試執行的服務腳本尚未經過簽署按一下 [ 執行] 以啟動腳本畫面中隨即會出現對話方塊視窗確認腳本已成功執行如果腳本只能部分執行畫面中會出現對話方塊視窗並顯示下列訊息已部分執行服務腳本您想要檢視錯誤報告嗎選取 [ 是] 可檢視複雜的錯誤報告此報告會列出未執行的作業如果腳本無法辨識畫面中會出現對話視窗並顯示下列訊息選取的服務腳本尚未經過簽署執行未簽署和未知的腳本可能會嚴重損害您的電腦資料您確定要執行腳本並執行處理方法嗎這可能是由於腳本內容不一致所引起的 (損壞的標題損壞的區段標題遺失區段間的空白文字行等) 您可以重新開啟腳本檔案並修正腳本內容中的錯誤或建立新的服務腳本常見問題 E S E T S y s Ins pec t or 是否需要管理員權限才能執行 ESET SysInspector 不需要管理員權限即可執行然而收集的部分資訊需要透過管理員帳戶才能存取以標準使用者或受限使用者身分執行它會導致收集到較少的作業環境資訊 E S E T S y s Ins pec t or 是否會建立防護記錄檔案 ESET SysInspector 可以建立電腦配置的防護記錄檔案若要儲存一個防護記錄檔案請從主要程式視窗中按一下 [ 檔案] > [ 儲存防護記錄] 防護記錄會以 XML 格式儲存依預設檔案會儲存至 % US E RP RO FILE % \M y Doc um ents \ 目錄檔案命名慣例為 " SysInpsector-%COMPUTERNAME%-YYMMDD-HHMM.XML" 如果需要在儲存之前可以變更防護記錄檔案的位置和名稱我如何檢視 E S E T S y s Ins pec t or 防護記錄檔案若要檢視由 ESET SysInspector 建立的防護記錄檔案請執行程式然後按一下主要程式視窗中的 [ 檔案] > [ 開啟防護記錄] 您也可以拖放防護記錄檔案至 ESET SysInspector 應用程式如果您需要經常檢視 ESET SysInspector 防護記錄檔案建議您在桌面上建立 SYSINSPECTOR.EXE 檔案的捷徑接著您就可以將防護記錄檔案拖放至該捷徑來進行檢視基於安全性理由 Windows Vista/7 可能不允許在兩種不同安全性權限的視窗之間進行拖放防護記錄檔案格式是否有可用的規格或是有 S DK 目前因為程式仍在開發中尚未有防護記錄檔案的規格或 SDK 在程式發佈之後我們會根據客戶意見及需求提供這些規格 E S E T S y s Ins pec t or 如何評估特定物件所造成的風險在大部分情況下 ESET SysInspector 會使用一系列的啟發式規則 (檢查每個物件的特性然後衡量惡意活動潛在的可能性) 來指派物件 (檔案處理程序登錄機碼等等) 的風險層級根據這些啟發式規則指派從 1 - 良好 (綠色) 至 9 - 危險 (紅色) 的風險層級給物件在左側的瀏覽窗格中區段會根據其中所含物件的最高風險層級來設定顏色風險層級 6 - 未知 (紅色) 是否表示物件是危險的 ESET SysInspector 的評量不保證物件是惡意的應由安全專家判定 ESET SysInspector 的設計是為安全性專家提供快速評定因此專家才能知道系統上哪個物件需要進一步檢查異常行為為何 E S E T S y s Ins pec t or 在執行時要連接至網際網路如同許多應用程式 ESET SysInspector 使用數位簽章憑證來簽署以協助確保軟體是由 ESET 發佈且未遭到變更為了驗證憑證作業系統會聯絡憑證管理中心以驗證軟體發佈者的身分此行為對所有 Microsoft Windows 的數位簽章程式來說是正常的何謂反隱藏技術反隱藏技術提供有效的隱藏程序 (Rootkit) 偵測如果系統遭 Rootkit 方式的惡意程式攻擊則使用者暴露在資料遺失或遭竊的風險中若沒有特殊的反 Rootkit 工具要偵測 97

98 到 Rootkit 幾乎是不可能為什麼有時候標記為由 MS 簽署的檔案同時間會有不同的公司名稱項目嘗試辨識可執行檔的數位簽章時 ESET SysInspector 會先檢查內嵌在檔案內的數位簽章如果找到數位簽章則會使用該資訊驗證檔案如果找不到數位簽章 ESI 會開始尋找對應的 CAT 檔案 (安全性目錄 -% s y s tem root% \s y s tem 32\c atroot), 其中包含有關可執行檔案處理的資訊如果找到相關的 CAT 檔案該 CAT 檔案的數位簽章將會套用到可執行檔案的驗證程序這就是為什麼有時候標記為由 MS 簽署的檔案公司名稱項目不同的原因 E SE T SysI nspector 是 E SE T E ndpoint A ntivirus 的一部份若要開啟 ESET Endpoint Antivirus 中的 ESET SysInspector 區段請按一下 [ 工具] > [ E S E T S y s Ins pec t or] [ESET SysInspector] 視窗中的管理系統與電腦掃描防護記錄或已排程工作的管理系統相似所有使用系統快照的作業 (建立檢視比較移除及匯出) 按一或兩下即可存取 [ESET SysInspector] 視窗包含所建立快照的基本資訊例如建立時間簡短註解建立快照的使用者名稱及快照狀態若要比較建立或刪除快照請使用 ESET SysInspector 視窗中位於快照清單下方的對應按鈕那些選項也可從內容功能表中取得若要檢視選取的系統快照請選取內容功能表中的 [ 顯示] 若要將選取的快照匯出至檔案請在該快照上按一下滑鼠右鍵並選取 [ 匯出... ] 下列是可用選項的詳細說明比較 - 可讓您比較兩份現有防護記錄如果您想要追蹤目前防護記錄與較舊防護記錄之間的變更即適用此選項若要使此選項生效您必須選取兩份要進行比較的快照建立...- 建立新的記錄在此之前您必須輸入關於記錄的簡短註解若要找到 (目前已產生快照的) 快照建立進度百分比請參閱 [ 狀態] 直欄所有已完成快照都會標記為 [ 已建立] 狀態刪除/ 全部刪除 - 從清單移除項目匯出...- 將選取的項目儲存至 XML 檔案 (同時儲存為壓縮版本) 3.11 字彙威脅類型入侵是嘗試進入及/ 或損害使用者電腦的一種惡意軟體病毒電腦病毒是一種惡意程式碼會附加到電腦的現有檔案上病毒這個名稱取自生物學的病毒因為病毒會利用類似的方式從一部電腦散播至另一部電腦病毒這個名詞常常被不當用於表示指任何類型的威脅這種情況已逐漸減少而改用較精確的詞彙惡意軟體 (具惡意的軟體) 電腦病毒主要會攻擊執行檔及文件簡而言之電腦病毒的運作如下在執行受感染的檔案後會先呼叫並執行惡意程式碼再執行原始的應用程式病毒會感染任何目前使用者有寫入權限的檔案電腦病毒有目的與嚴重性之分有些病毒因為能夠故意將硬碟機中的檔案刪除而顯得極度危險另一方面有些病毒並不會造成真正的損害這些病毒只會困擾使用者並展現其作者的技術如果您的電腦遭到病毒感染且無法清除請將電腦送到 ESET 實驗室檢查在特定狀況下受感染的檔案會被修改為無法清除且必須以沒有未感染的副本取代受感染檔案的程度 98

99 蠕蟲電腦蠕蟲是含有惡意程式碼的程式它會攻擊主機電腦並透過網路散佈病毒與蠕蟲的基本差異在於蠕蟲有能力自行繁殖蠕蟲不需仰賴主機檔案 (或開機磁區) 蠕蟲透過連絡人名單中的電子郵件地址散佈或利用網路應用程式中的安全性弱點因此蠕蟲的存活率比電腦病毒高多了因為網際網路的普及蠕蟲可能在發佈後的數小時內就散佈到全世界甚至只需幾分鐘的時間這種獨立又快速的複製能力使蠕蟲比其他類型的惡意軟體更加危險在系統中活化的蠕蟲會造成許多不便如刪除檔案降低系統效能甚至會停用程式電腦蠕蟲的本質使其能夠成為其他入侵類型的傳輸媒介如果您的電腦感染了蠕蟲我們建議您刪除受感染的檔案因為其中可能包含惡意程式碼特洛伊木馬程式從歷史角度來看電腦特洛伊木馬程式已被定義為一種威脅類別它會嘗試以有用的程式呈現矇騙使用者執行這些程式由於特洛伊木馬程式是非常廣泛的類別所以通常會細分為許多子類別 Downloader - 可從網際網路下載其他威脅的一種惡意程式 Dropper - 可將其他類型的惡意軟體放置在受危害電腦上的一種惡意程式 B ac k door - 一種與遠端攻擊者通訊可讓攻擊者存取系統進而控制系統的惡意程式 K ey logger - (按鍵側錄程式) 此程式會記錄使用者按下的每一個按鍵並將該資訊傳送給遠端攻擊者 Dialer - 一種不連線至使用者網際網路服務提供者而連線至高費率電話號碼的惡意程式使用者幾乎不可能查覺到有新的連線建立 Dialer 只能對使用撥接數據機的使用者造成損害而現在已經不常使用撥接數據機了如果偵測到您的電腦上有某個檔案是特洛伊木馬程式建議您將它刪除因為它極可能僅包含惡意程式碼 R ootkit Rootkit 是惡意程式可讓網際網路攻擊者任意存取系統且神不知鬼不覺 Rootkit 在存取系統之後 (通常是利用系統弱點) 會使用作業系統中的功能來躲避防毒軟體的偵測它會隱藏處理程序檔案及 Windows 登錄資料因此使用一般的測試技術幾乎不可能偵測得到有兩種層級的偵測可預防 Rootkit 1. 當其嘗試存取系統時它們仍未存在所以沒有作用大部分的防毒系統都能夠在此層級消滅 Rootkit (假設系統真的偵測到這些檔案被感染) 2. 當其隱藏起來以規避一般測試時 ESET Endpoint Antivirus 使用者擁有反隱藏技術的優勢此技術也能夠偵測並消除作用中 Rootkit 廣告程式廣告程式是廣告支援軟體的簡稱舉凡可顯示廣告素材的程式均屬於這個種類的軟體廣告程式應用程式會經常在網際網路瀏覽器中自動開啟包含廣告的快顯視窗或變更瀏覽器的首頁廣告程式通常隨附於免費軟體程式讓免費軟體程式建立者負擔其 (通常很有用) 應用程式的開發成本廣告程式本身並不危險 -使用者僅會受到廣告的騷擾其危險性在於廣告程式可能也會執行追蹤功能 (與間諜軟體相同) 如果您決定使用免費軟體產品請特別注意安裝程式安裝程式很可能會在安裝額外廣告程式程式時通知您您通常可以取消安裝廣告程式而只安裝程式不安裝廣告程式便無法安裝某些程式或者會限制程式的功能這表示廣告程式通常以合法方式存取系統因為使用者已同意在此情況下為了以防萬一若電腦上偵測到廣告程式檔案建議您刪除該檔案因為其中很可能包含惡意程式碼 99

100 間諜程式此類別包括會在使用者未同意/ 不知情的情況下傳送私人資訊的所有應用程式間諜程式會利用追蹤功能來傳送各種統計資料例如造訪過的網站清單使用者通訊錄中的電子郵件地址或是記錄過的按鍵清單間諜程式的作者會宣稱這些技術的目的是為了深入瞭解使用者的需求和興趣使宣傳目標更為精準問題是有益的和惡意的應用程式之間沒有明顯的分界而且沒有人可以確保所擷取的資訊不會被濫用間諜程式應用程式取得的資料可能包含安全密碼 PIN 銀行帳號等等免費版程式的作者通常會將間諜程式搭載於該程式以創造收益或是激勵您購買軟體通常在程式安裝期間就會讓使用者知道間諜程式的存在以刺激其升級為沒有間諜程式的付費版本例如 P2P (點對點) 網路的用戶端應用程式就是著名的搭載間諜軟體的免費軟體產品 Spyfalcon 或 Spy Sheriff (以及許多其他程式) 是屬於特定的間諜軟體子類別 -其看似間諜程式防護程式但事實上其本身就是間諜程式如果在電腦上偵測到檔案是間諜軟體建議您刪除該檔案因為其中很可能包含惡意程式碼壓縮器壓縮器是運行時間自我解壓縮的執行檔會將數種惡意軟體封裝成單一套件最常見的壓縮器有 UPX PE_Compact PKLite 與 ASPack 同一個惡意程式若壓縮時使用不同的壓縮器其偵測方式也會不同壓縮器也能夠讓其簽章隨著時間改變讓惡意軟體更難以偵測與移除潛在不安全的應用程式有很多合法程式的功能都可用來簡化網路電腦的系統管理作業然而如果落入有心人士的手中可能就會被用來從事惡意活動 ESET Endpoint Antivirus 提供偵測這類威脅的選項 [ 潛在不安全的應用程式] 是用於商業合法軟體的分類此分類包括的程式諸如遠端存取工具密碼破解應用程式以及 keylogger (會記錄使用者按下之每個按鍵的程式) 如果您發現電腦上有潛在不安全的應用程式存在並執行中 (而您沒有安裝它) 請洽詢您的網路系統管理員或是移除該應用程式潛在不需要應用程式潛在不需要應用程式是含有廣告軟體安裝工具列或具有其他不明企圖的程式在某些情況下使用者可能會認為潛在不需要應用程式的優點大於風險因此相較於其他例如特洛伊木馬或蠕蟲惡意軟體的類型 ESET 將此類應用程式指定為低風險的類別警告發現潛在的威脅偵測到潛在不需要應用程式時您可以決定要採取的處理方法 1. 清除/ 中斷連線此選項結束動作並且防止潛在的威脅進入系統 2. 不進行處理此選項會允許潛在威脅進入您的系統 3. 若要讓應用程式以後在電腦上不中斷地執行請按一下 [ 更多資訊/ 顯示進階選項] 然後選取 [ 從偵測中排除] 旁的核取方塊 100

您隨時可以在程式設定裡修改這些設定若要啟用或停用潛在不需要不安全或可疑應用程式的偵測請遵循下列指示 1. 開啟您的 ESET 產品如何開啟我的 ESET 產品 2.

101 偵測到潛在不需要應用程式且無法清除時 [ 位址已被封鎖] 通知視窗會在畫面右下角顯示如需這個事件的詳細資訊請從主要功能表瀏覽至 [ 工具] > [ 防護記錄檔案] > [ 已過濾的網站] 潛在不需要應用程式 -設定安裝您的 ESET 產品時可以決定是否要啟用不需要應用程式的偵測如下所示潛在不需要應用程式可能會安裝廣告軟體工具列或者具有其他不安全和不需要的程式功能您隨時可以在程式設定裡修改這些設定若要啟用或停用潛在不需要不安全或可疑應用程式的偵測請遵循下列指示 1. 開啟您的 ESET 產品如何開啟我的 ESET 產品 2. 按 F5 鍵以存取 [ 進階設定] 3. 按一下 [ 防毒] 根據您的喜好啟用或停用 [ 啟用潛在不需要應用程式偵測]? [ 啟用潛在不安全應用程式偵測] 和 [ 啟用可疑應用程式偵測] 選項按一下 [ 確定] 以確認 101

展开

ESET Smart Security

ESET SMART SECURITY 9 使用者手冊 (適用於產品版品 90 和更新版本) Microsoft Windows 10 / 81 / 8 / 7 / Vista / XP 按一下這裡以下載此文件的最新版本 ESET SMART SECURITY Copyright 2015 by ESET, spol s r o ESET Sma rt Securi ty 是由 ESET, s pol