ESET File Security

Size: px

Start display at page:

Download "ESET File Security"

瑞邬
7 years ago
Views:

1 ESET FILE SECURITY 适用于 MICROSOFT WINDOWS SERVER 安装手册和用户指南 Microsoft Windows Server 2003 / 2003 R2 / 2008 / 2008 R2 / 2012 / 2012 R2 单击此处下载此文档的最新版本

2 ESET FILE SECURITY 版权所有 2016 ESET, spol s ro ESET Fi l e Securi ty 由 ESET, s pol s ro 开发有关更多信息请访问 wwwes etcom 保留所有权利未经作者书面同意本文档的任何部分均不得复制存入检索系统或以任何形式或任何方式传播包括电子的机械的影印记录扫描或其他方式 ESET, s pol s ro 保留未经事先通知即更改任何所述应用程序软件的权利客户服务 wwwes etcom/s upport 修订日期 5/19/2016

本文档的任何部分均不得复制存入检索系统或以任何形式或任何方式传播包括电子的机械的影印记录扫描或其他方式 ESET, s

3 目录创建计算机状态快照 ESET SysInspec tor ESET SysInspec tor 介绍启动 ESET SysInspec tor 用户界面和应用程序的使用程序控件 ESET SysInspec tor 导航键盘快捷方式比较命令行参数服务脚本生成服务脚本服务脚本结构执行服务脚本常见问题解答 ESET SysResc ue Liv e 计划任务提交样本以供分析可疑文件可疑站点误报文件误报站点其他隔离区 6 1 介绍 11 新功能系统需求 8 3 防护类型 9 4 用户界面 ESET Remote Administrator 托管 10 5 通过 5 1 ERA Serv er W eb 控制台服务器代理 RD Sensor 代理安装 6 1 ESET File Sec urity 安装步骤命令行安装群集环境中的安装 19 支持 6 2 产品激活帮助和帮助主题 6 3 终端服务器如何 ESET 更新 File Sec urity 6 4 ESET AV Remov er 如何 ESET 激活 File Sec urity 6 5 升级到新版本如何在计划任务中创建新任务如何２小计划扫描任务每４时 21 7 入门指南如何从服务器中删除病毒提交支持请求 7 1 用户界面 ESET 专用清理器设置保护关于 ESET File Sec urity 7 2 日志文件产品激活 7 3 扫描注册 Hyper-V 扫描安全激管理员活激活 7 4 更新 27 失败许可设置证病毒库更新激活配置进度代理服务器进行更新成功激活 7 5 设置服务器计算机工具导入和导出设置 7 6 工具运行的进程查看活动时段选择 ESET Log Collec tor 防护统计群集群集第１向导页群集向导第２页群集第３向导页群集第４向导页 ESET Shell 用法命令批处理文件脚本 ESET SysInspec tor ESET File Security 75 8 使用 8 1 病毒防护检测到渗透进程排除自动排除共享的本地缓存性能文件系统实时防护排除添加或编辑排除排除格式 T hreatsense 参数不扫描的文件扩展名其他 T hreatsense 参数清除级别何时修改实时防护配置检查实时防护实时防护不工作时如何应对提交

SysResc ue Liv e 7 6 9 计划任务 7 6 1 0 提交样本以供分析 7 6 1 0 1 可疑文件 7 6 1 0 2 可疑站点 7 6 1 0 3 误报文件 7 6 1 0 4 误报站点 7 6 1 0 5 其他 7 6 1 1 隔离区 6 1 介绍 11 新功能 6 7 2 系统需求 8 3 防护类型 9 4 用户界面 ESET

4 统计信息可疑文件手动计算机扫描和 Hyper-V 扫描自定义扫描和 Hyper-V 扫描启动程序扫描进度扫描日志配置文件管理器扫描目标暂停计划扫描空闲状态下扫描开机扫描自动启动文件检查可移动磁盘文档防护 HIPS HIPS 规则 HIPS 规则设置高级设置始终允许加载驱动程序提供的数据访问提供的数据 ERA 扫描目标日志文件日志过滤在日志中查找代理服务器电子邮件通知邮件格式演示模式诊断客户服务群集用户界面警报和通知访问设置密码密码设置帮助 123 更新 ESET Shell 更新在回滚 96 终端服务器上禁用 GUI 更新已模式 96 禁用消息和状态 HT 确认 T P 代理 96 消息用以已禁下身份连接到局域网 97 用应用程序状态镜像系 98 统托盘图标从镜暂停像更新 99 防护镜像右文件 100 键菜单镜像更新问题故障排除恢复此部分中的所有设置如何创建更新任务恢复为默认设置 126 W eb 和电子邮件计划任务协议过滤任务详细信息排除的应用程序任务计时一次排除的 IP 地址任务计时 Web 和电子邮件客户端任务计时每天 SSL/ T LS 任务计时每周加密的 SSL 通信任务计时由事件触发已知证书列表任务详细信息运行应用程序电子邮件客户端防护跳过的任务电子邮件协议计划任务详细信息警报和通知更新配置文件 MS Outlook 工具栏创建新任务 Outlook Express 和 W indows Mail 工具栏确认对话框隔离隔离文件重新扫描邮件从隔离区恢复 W eb 访问保护提交隔离区中的文件基本 URL 系统更新 131 地址管理操作新建列表地址列表词汇表网络钓鱼防护渗透类型 132 设备控制病毒设规备控制则编辑器蠕虫添加设备控制规则木马已检测的设备 Rootk it 设备组广告软件间工具 111 谍软件加 ESET 壳程序 133 Liv egrid 漏排除洞利用阻止程序 134 过滤器高隔级内存扫描程序 134 离潜 Mic 在的不安全应用程序 134 rosoft W indows 更新潜 W 在的不受欢迎应用程序 134 MI 提供程序 112

序 84 84 85 85 87 89 90 90 90 90 91 91 91 92 92 93 93 94 94 8 5 4 1 8 5 4 2 8 5 5 8 5 6 8 5 6 1 8 5 6 2 8 5 7 8 5 8 8 5 8 1 8 5 9 8 5 1 0 8 5 1 1 8 5 1 2 提供的数据访问提供的数据 ERA 扫描目标日志文件日

5 目录

6 1 介绍 ESET File Security 是集成的解决方案专为 Microsoft Windows Server 环境而设计 ESET File Security 针对各种类型的恶意软件攻击提供有效和强大的防护它提供两种类型的防护病毒和间谍软件防护 ESET File Security 的一些主要功能 ESET 群集 - ESET 服务器产品能够相互通信和交换数据例如配置和通知以及同步产品实例组正确操作所需的数据这可为整个群集提供相同的产品配置 ESET File Security 支持 Windows 故障转移群集和网络负载平衡 NLB) 群集此外您可以手动添加 ESET 群集成员而无需特定 Windows 群集 ESET 群集可在域环境和工作组环境中使用存储扫描 - 扫描本地服务器上的所有共享文件这使得有选择地仅扫描存储在文件服务器上的用户数据更为容易自动排除 - 自动检测并排除关键应用程序和服务器文件以使运行平稳并实现稳定性能 ESET 日志收集器 - 自动收集 ESET File Security 配置等信息和大量日志 ESET 日志收集器将使您可以轻松地收集所需的诊断信息以帮助 ESET 技术人员快速解决问题 eshell (ESET Shell) - 一个命令行控制接口可为高级用户和管理员提供用于管理 ESET 服务器产品的更全面的选项 eshell 随附在新的和改进的版本２中自我保护保护 ESET 安全解决方案不被修改或停用有效的故障排除用于解决各种问题的内置工具 ESET SysInspector 用于系统诊断 ESET SysRescue Live 用于创建可引导的修复 CD 或 USB 在单机和群集环境中 ESET File Security 支持 Microsoft Windows Server 2003 ２８和２１２的大多数版本您可以在 ESET Remote Administrator 的帮助下远程管理大型网络中的 ESET File Security 11 新功能以下功能的集成群集支持进程的排除更好地与第三方软件兼容 GUI 增强功能基于规则的过滤扫描可以定义文件规则并运行特定方式的手动扫描网络钓鱼防护虚拟环境的优化 Hyper-V 扫描 - 是允许扫描 Microsoft Hyper-V Server 上的虚拟机 VM) 磁盘而无需使用特定 VM 上任何服务器代理的新技术 6

这使得有选择地仅扫描存储在文件服务器上的用户数据更为容易自动排除 - 自动检测并排除关键应用程序和服务器文件以使运行平稳并实现稳定性能 ESET 日志收集器 - 自动收集 ESET File Security 配置等信息和大量日志 ESET 日志收集器将使您可以轻松地收集所需的诊断信息以帮助 ESET 技术人员快速解决问题 eshell (ESET Shell) - 一个命令行控制接口

7 2 系统需求支持的操作系统 Microsoft Windows Server 2003 SP2 x86 和 x64 Microsoft Windows Server 2003 R2 x86 和 x64 Microsoft Windows Server 2008 x86 和 x64 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Storage Server Small Business Server 和 MultiPoint Server Microsoft Windows Storage Server 2008 R2 Essentials SP1 Microsoft Windows Storage Server 2012 Microsoft Windows Storage Server 2012 R2 Microsoft Windows Small Business Server 2003 (x86) Microsoft Windows Small Business Server 2003 R2 (x86) Microsoft Windows Small Business Server 2008 (x64) Microsoft Windows Small Business Server 2011 (x64) Microsoft Windows Server 2012 Essentials Microsoft Windows Server 2012 R2 Essentials Microsoft Windows MultiPoint Server 2010 Microsoft Windows MultiPoint Server 2011 Microsoft Windows MultiPoint Server 2012 支持的 Hyper-V 主机操作系统 Microsoft Windows Server 2008 R2 - 虚拟机仅在脱机时才能进行扫描 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 硬件要求取决于所用的操作系统版本我们建议您阅读 Microsoft Windows Server 产品文档以获取有关硬件要求的更详细信息 7

Windows Storage Server 2012 R2 Microsoft Windows Small Business Server 2003 (x86) Microsoft Windows Small Business Server 2003 R2 (x86) Microsoft Windows Small Business Server 2008 (x64) Microsoft

8 3 防护类型共有两种类型的防护病毒防护间谍软件防护病毒和间谍软件防护是 ESET File Security 产品的基本功能之一该防护通过控制文件电子邮件和 Internet 通信防范恶意系统攻击如果检测到威胁病毒防护模块可以通过先阻止它然后将其清除删除或移至隔离区来消除该威胁 8

9 4 用户界面 ESET File Security 具有图形用户界面 GUI) 其设计尽可能地直观 GUI 让用户快速方便地访问程序的主要功能除了主要 GUI 还有高级设置窗口可通过按 F5 键从程序中的任何位置访问它在高级设置窗口中您可以根据自己的需要配置设置和选项其左侧菜单包括以下类别一些主要类别包含子类别当您在左侧菜单中单击某个项目类别或子类别时该项目的各个设置将显示在右侧窗格上有关 GUI 的更多详细信息请单击此处 9

在高级设置窗口中您可以根据自己的需要配置设置和选项其左侧菜单包括以下类别一些主要类别包含子类别

5 通过 ESET Remote Administrator 托管 ESET Remote Administrator (ERA) 是一个应用程序它允许您从一个中心位置管理网络环境中的 ESET 产品此 ESET Remote Administrator 任务管理系统允许您在远程计算机上安装 ESET 安全解决方案并且快速响应新问题和威胁 ESET Remote Administrator

10 5 通过 ESET Remote Administrator 托管 ESET Remote Administrator (ERA) 是一个应用程序它允许您从一个中心位置管理网络环境中的 ESET 产品此 ESET Remote Administrator 任务管理系统允许您在远程计算机上安装 ESET 安全解决方案并且快速响应新问题和威胁 ESET Remote Administrator 自身不提供对恶意代码的防护它依赖于每个客户端上是否存在 ESET 安全解决方案 ESET 安全解决方案支持包括多个平台类型的网络您的网络可以包括当前可在移动设备手机和平板电脑上运行的 Microsoft 操作系统基于 Linux 的操作系统 Mac OS 操作系统的组合下图描绘了由 ERA 托管的 ESET 安全解决方案保护的示例网络架构注意有关 ERA 的详细信息请参阅 ESET Remote Administrator 联机帮助 51 ERA Server ESET Remote Administrator Server 是 ESET Remote Administrator 的一个主要组件它是可执行应用程序用于处理从连接到服务器通过 ERA 服务器代理的客户端接收的所有数据 ERA 服务器代理将有助于客户端和服务器之间的通信数据客户端日志配置服务器代理复制等将存储在数据库中若要正确处理数据则 ERA Server 需要稳定地连接到数据库服务器我们建议将 ERA Server 和您的数据库安装在不同的服务器上以优化性能必须将装有 ERA Server 的计算机配置为接受所有已通过证书验证的服务器代理代理 RD Sensor 连接安装 ERA Server 后您可以打开连接到 ERA Server 的 ERA Web 控制台如示意图中所示在您的网络内管理 ESET 安全解决方案时所有的 ERA Server 操作都将通过 Web 控制台执行 10

ESET Remote Administrator 联机帮助 51 ERA Server ESET Remote Administrator Server 是 ESET Remote Administrator 的一个主要组件它是可执行应用程序用于处理从连接到服务器通过 ERA 服务器代理的客户端接收的所有数据 ERA 服务器代理将有助于客户端和服务器之间的通信数据客户端日志

52 Web 控制台 ERA Web 控制台是一个基于 Web 的用户界面它可以显示来自 ERA 服务器的数据并允许您在环境中管理 ESET 安全解决方案可以使用浏览器访问 Web 控制台它将显示您网络上的客户端状态的概述并可用于将 ESET 解决方案远程部署到未托管的计算机如果您决定使 Web 服务器可从 Internet 访问那么您将具有一大优势即可以在几乎任何具有有效

11 52 Web 控制台 ERA Web 控制台是一个基于 Web 的用户界面它可以显示来自 ERA 服务器的数据并允许您在环境中管理 ESET 安全解决方案可以使用浏览器访问 Web 控制台它将显示您网络上的客户端状态的概述并可用于将 ESET 解决方案远程部署到未托管的计算机如果您决定使 Web 服务器可从 Internet 访问那么您将具有一大优势即可以在几乎任何具有有效 Internet 连接的设备上从任何位置使用 ESET Remote Administrator 下面是 Web 控制台面板在 Web 控制台的顶部栏内存在一个快速搜索工具从下拉菜单中选择计算机名称 IPv4/IPv6 地址或威胁名称在文本字段内键入搜索字符串然后单击放大镜符号或按 Enter 以进行搜索您将重定向到用于显示搜索结果客户端或客户端列表的组部分所有客户端都通过 Web 控制台管理您可以使用最常见的设备和浏览器访问 Web 控制台注意有关详细信息请参阅 ESET Remote Administrator 联机帮助 53 服务器代理 ERA 服务器代理是 ESET Remote Administrator 产品的重要部分客户端计算机上的 ESET 产品例如 ESET Endpoint Security for Windows 通过该代理与 ERA 服务器通信此通信允许您从一个中心位置管理所有远程客户端上的 ESET 产品服务器代理从客户端收集信息并将它发送到服务器如果服务器发送了一个客户端任务该任务将发送到服务器代理然后由服务器代理将它发送到客户端所有网络通信均在服务器代理和 ERA 网络的上半部分服务器和代理之间进行注意有关详细信息请参阅 ESET Remote Administrator 联机帮助 ESET 服务器代理使用以下三种方法之一来连接服务器 1 客户端的服务器代理直接连接到服务器 2 客户端的服务器代理通过连接到服务器的代理进行连接 3 客户端的服务器代理通过多个代理连接到服务器 11

所有客户端都通过 Web 控制台管理您可以使用最常见的设备和浏览器访问 Web 控制台注意有关详细信息请参阅 ESET Remote Administrator 联机帮助 53 服务器代理 ERA 服务器代理是 ESET Remote Administrator 产品的重要部分客户端计算机上的 ESET 产品例如 ESET Endpoint Security for Windows

12 ESET 服务器代理与安装在客户端上的 ESET 解决方案通信从该客户端上的程序收集信息并将从服务器接收的配置信息传递给客户端注意 ESET 代理有自己的服务器代理它可以处理客户端其他代理与服务器之间的所有通信任务 54 RD Sensor RD (Rogue Detection) Sensor 是一种适用于网络上计算机的搜索工具 RD Sensor 是 ESET Remote Administrator 的一部分并且专门用于检测您网络上的计算机它提供了向 ESET Remote Administrator 添加新计算机的简便方法使您无需手动添加它们在您的网络上找到的每台计算机都将在 Web 控制台中显示并且将添加到静态组中在此处您可以对单个客户端计算机采取进一步的操作 RD Sensor 是一个被动的侦听器用于检测网络上存在的计算机并将有关它们的信息发送到 ERA 服务器然后 ERA Server 将评估在网络上发现的电脑对于 ERA Server 是否处于未知状态或者是否已被托管注意有关详细信息请参阅 ESET Remote Administrator 联机帮助 55 代理 ERA 代理是 ESET Remote Administrator 的另一个组成部分它有两种用途在具有许多客户端例如１个客户端或更多的中型网络或企业网络的情况下您可以使用 ERA 代理在多个 ERA 代理之间分发负载从而提高主 ERA 服务器的效率 ERA 代理的另一个优点在于当您要连接到易出故障的远程分支机构时可以使用它这意味着每个客户端上的 ERA 服务器代理不会通过 ERA 代理位于与分支机构相同的本地网络上直接连接到主 ERA 服务器因此这释放了指向分支机构的链接 ERA 代理接受来自所有本地 ERA 服务器代理的连接汇总它们的数据并将其上载到主 ERA 服务器或另一个 ERA 代理这可让您的网络在不影响网络和数据库查询性能的情况下容纳更多客户端 ERA 代理可能会连接到其他 ERA 代理然后连接到主 ERA 服务器具体取决于您的网络配置为保证 ERA 代理的正常运行安装 ERA 代理的主机上必须装有 ESET 服务器代理且必须连接到您网络中较高级别的 ERA 服务器或较高级别的 ERA 代理如果存在注意有关 ERA 代理的部署方案的示例请参阅 ESET Remote Administrator 联机帮助 12

用于检测网络上存在的计算机并将有关它们的信息发送到 ERA 服务器然后 ERA Server 将评估在网络上发现的电脑对于 ERA Server 是否处于未知状态或者是否已被托管注意有关详细信息请参阅 ESET Remote Administrator 联机帮助 55 代理 ERA 代理是 ESET Remote Administrator 的另一个组成部分它有两种用途

13 6 安装购买 ESET File Security 之后安装程序可以从 ESET 网站 wwwesetcom) 下载格式为 msi 软件包请注意您需要在内置管理员帐户或域管理员帐户如果您已禁用本地内置管理员帐户下执行安装程序其他任何用户即使是管理员组的成员也不会拥有足够的访问权限由于您无法成功地在本地或域管理员帐户之外的其他任何用户帐户下完成安装因此您需要使用内置管理员帐户有两种方法可以执行安装程序您可以使用管理员帐户凭据在本地进行登录然后轻松地运行安装程序您可以作为其他用户登录但是需要使用运行方式打开命令提示并键入管理员帐户凭据以使 cmd 作为管理员运行然后键入命令以执行安装程序例如 msiexec /i 但是您需要将替换为已下载的 msi 安装程序的准确文件名启动安装程序并接受最终用户许可协议 EULA) 后安装向导将指导您完成安装过程如果您选择不接受许可协议中的条款该向导将无法继续完全这是建议的安装类型它将安装 ESET File Security 的所有功能选择此类型的安装后您将仅指定安装产品的文件夹但您可以直接接受预定义的默认安装文件夹建议安装程序将自动安装所有程序功能自定义自定义安装类型使您能够选择将安装在您系统上的 ESET File Security 的程序功能您将看到一个可从中进行选择以供安装的功能组件的典型列表除了向导安装您还可以选择通过命令行以静默方式安装 ESET File Security 此安装类型不需要任何交互例如在使用上述向导时这对自动化或精简实例很有用此类安装也称为无人参与安装因为它不会提示用户执行任何操作静默无人参与安装通过命令行完成安装 msiexec /i <packagename> /qn /l*xv msilog 注意如果可能强烈建议在新安装和配置的操作系统上安装 ESET File Security 然而如果需要在现有系统上安装最好的做法是卸载以前版本的 ESET File Security 重新启动服务器然后再安装新的 ESET File Security 注意如果您之前在系统上使用了其他第三方病毒防护软件我们建议您先完全卸载它再安装 ESET File Security 若要执行此操作您可以使用 ESET AV 清除工具它可使卸载更容易 13

EULA) 后安装向导将指导您完成安装过程如果您选择不接受许可协议中的条款该向导将无法继续完全这是建议的安装类型它将安装 ESET File Security 的所有功能选择此类型的安装后您将仅指定安装产品的文件夹但您可以直接接受预定义的默认安装文件夹建议安装程序将自动安装所有程序功能自定义自定义安装类型使您能够选择将安装在您系统上的 ESET File

14 61 ESET File Security 安装步骤请按照以下步骤进行操作以使用安装向导安装 ESET File Security 接受 EULA 后您可以从两种安装类型中进行选择安装类型 14

$您可以选择将在您系统上安装 ESET File Security 的程序功能完全安装也称为完整安装这将安装所有 ESET File Security 组件系统将提示您选择安装的目标位置默认情况下程序的安装位置为 C:\Program Files\ESET\ESET File Security 单击浏览可更改此位置不建议核心安装将安装核心功能和命令行用户界面建议将此方法用于$

15 完全 - 这是建议的安装类型它将安装 ESET File Security 的所有功能核心 - 此安装类型适用于 Windows Server Core 该过程类似于完全安装但仅安装核心组件使用此方法时 ESET File Security 将不具有 GUI 如果需要您可以在常规 Windows Server 上运行核心安装有关核心安装的更多详细信息请单击此处自定义 - 您可以选择将在您系统上安装 ESET File Security 的程序功能完全安装也称为完整安装这将安装所有 ESET File Security 组件系统将提示您选择安装的目标位置默认情况下程序的安装位置为 C:\Program Files\ESET\ESET File Security 单击浏览可更改此位置不建议核心安装将安装核心功能和命令行用户界面建议将此方法用于 Windows Server Core 15

$程序的安装位置为 C:\Program Files\ESET\ESET File Security 单击浏览可更改此位置不建议核心安装将安装核心功能和命令行用户界面建议将此方法用于 Windows$

自定义安装允许您选择要安装的功能在您想要自定义仅包含所需组件的 ESET File Security 时有用您可以向现有安装添加组件或从中删除组件若要执行上述操作您可以运行在初始安装期间使用过的 msi 安装程序包或者转到程序和功能可从 Windows 控制面板访问右键单击

16 自定义安装允许您选择要安装的功能在您想要自定义仅包含所需组件的 ESET File Security 时有用您可以向现有安装添加组件或从中删除组件若要执行上述操作您可以运行在初始安装期间使用过的 msi 安装程序包或者转到程序和功能可从 Windows 控制面板访问右键单击 ESET File Security 并选择更改这将打开该安装程序与您手动运行它一样按照以下步骤进行操作以添加或删除组件组件修改添加删除过程修复和删除提供３个选项您可以用来修改已安装的组件修复 ESET File Security 的安装或完全删除卸载它 16

Windows 控制面板访问右键单击 ESET File Security 并选择更改这将打开该安装程序与您手动运行它一样

$以下设置旨在仅与用户界面的降低基本和无级别一起使用请参阅用于相应命令行开关的 msiexec 版本的文档支持的参数 APPDIR=<path> o 路径有效的目录路径 o 应用程序安装目录 o 例如 emsx_nt64_enumsi /qn APPDIR=C:\ESET\ ADDLOCAL=DocumentProtection APPDATADIR=<path> o 路径$

17 如果您选择修改将显示一个所有可用程序组件的列表选择您想要添加或删除的组件您可以同时添加删除多个组件单击组件然后从下拉菜单中选择一个选项选中某个选项后请单击修改以执行修改注意您可以通过运行该安装程序随时修改已安装的组件无需重新启动服务器便可以完成此操作只需进行修改即可完成 GUI 将重新启动并且您仅将看到您选择安装的组件 611 命令行安装以下设置旨在仅与用户界面的降低基本和无级别一起使用请参阅用于相应命令行开关的 msiexec 版本的文档支持的参数 APPDIR=<path> o 路径有效的目录路径 o 应用程序安装目录 o 例如 emsx_nt64_enumsi /qn APPDIR=C:\ESET\ ADDLOCAL=DocumentProtection APPDATADIR=<path> o 路径有效的目录路径 o 应用程序数据安装目录 MODULEDIR=<path> o 路径有效的目录路径 o 模块安装目录 ADDEXCLUDE=<list> o ADDEXCLUDE 列表是所有未安装的功能名称的列表以逗号分隔作为已废弃 REMOVE 的替代 o 当选择不安装的功能时整个路径即其所有子功能和相关的不可见功能必须显式包含在列表中 o 例如 ees_nt64_enumsi /qn ADDEXCLUDE=Firewall,Network 注意: 此 ADDEXCLUDE 不能与 ADDLOCAL 一起使用 17

$APPDIR=C:\ESET\ ADDLOCAL=DocumentProtection APPDATADIR=<path> o 路径有效的目录路径 o 应用程序数据安装目录 MODULEDIR=<path> o 路径有效的目录路径 o 模块安装目录 ADDEXCLUDE=<list> o ADDEXCLUDE$

18 ADDLOCAL=<list> o 组件安装要在本地安装的非强制性功能的列表 o ESET msi 程序包的使用 emsx_nt64_enumsi /qn ADDLOCAL=<list> o 有关 ADDLOCAL 属性的详细信息请参阅 29aspx 规则 o ADDLOCAL 列表是所有要安装的功能名称的按逗号分隔的列表 o 当选择要安装的功能时整个路径所有父功能必须显式包含在该列表中 o 有关正确用法的信息请参阅附加规则功能状态 o 强制性 - 将始终安装该功能 o 可选 - 可能会取消安装该功能 o 不可见 - 为了使其他功能正常工作逻辑功能是强制性的 o 占位符 - 不会对产品造成影响的功能但必须与子功能一同列出功能树如下所示功能树功能名称功能状态计算机计算机病毒和间谍软件防护计算机病毒和间谍软件防护文件系统实时防护计算机病毒和间谍软件防护计算机扫描计算机病毒和间谍软件防护文档防护计算机设备控制网络网络个人防火墙 Web 和电子邮件 Web 和电子邮件协议筛选 Web 和电子邮件 Web 访问保护 Web 和电子邮件电子邮件客户端防护 Web 和电子邮件电子邮件客户端防护 MailPlugins Web 和电子邮件电子邮件客户端防护反垃圾邮件防护 Web 和电子邮件 Web 控制更新镜像 Microsoft NAP 支持计算机病毒防护 RealtimeProtection 扫描 DocumentProtection DeviceControl 网络防火墙 WebAnd ProtocolFiltering WebAccessProtection ClientProtection MailPlugins 反垃圾邮件必需必需必需必需可选可选占位符可选占位符不可见可选可选不可见可选 WebControl UpdateMirror MicrosoftNAP 可选可选可选附加规则 o 如果选择安装任意 WebAnd 功能则不可见 ProtocolFiltering 功能必须显式包含在此列表中 o 如果选择安装任意 ClientProtection 子功能则不可见 MailPlugins 功能必须显式包含在此列表中示例 efsw_nt64_enumsi /qn ADDLOCAL=WebAnd ,WebAccessProtection,ProtocolFiltering efsw_nt64_enumsi /qn ADDLOCAL=WebAnd , ClientProtection,Antispam,MailPlugins CFG_ 属性列表 CFG_POTENTIALLYUNWANTED_ENABLED=1/0 已禁用１已启用 CFG_LIVEGRID_ENABLED=1/0 已禁用１已启用 LiveGrid 18

功能状态计算机计算机病毒和间谍软件防护计算机病毒和间谍软件防护文件系统实时防护计算机病毒和间谍软件防护计算机扫描计算机病毒和间谍软件防护文档防护计算机设备控制网络网络个人防火墙 Web 和电子邮件 Web 和电子邮件协议筛选 Web 和电子邮件 Web 访问保护 Web 和电子邮件电子邮件客户端防护 Web 和电子邮件电子邮件客户端防护

FIRSTSCAN_ENABLE=1/0 禁用１启用在安装后计划新的 FirstScan CFG_EPFW_MODE=0/1/2/3 自动１交互２策略３学习 CFG_PROXY_ENABLED=0/1 0 - 已禁用１已启用 CFG_PROXY_ADDRESS=<ip> 代理 IP 地址 CFG_PROXY_PORT=<port> 代理端口号

19 FIRSTSCAN_ENABLE=1/0 禁用１启用在安装后计划新的 FirstScan CFG_EPFW_MODE=0/1/2/3 自动１交互２策略３学习 CFG_PROXY_ENABLED=0/1 0 - 已禁用１已启用 CFG_PROXY_ADDRESS=<ip> 代理 IP 地址 CFG_PROXY_PORT=<port> 代理端口号 CFG_PROXY_USERNAME=<user> 用于身份验证的用户名 CFG_PROXY_PASSWORD=<pass> 用于身份验证的密码 612 群集环境中的安装您可以在群集环境例如故障转移群集中部署 PN%> 我们建议您将 PN%> 安装在活动节点上然后使用 <%PN%> 的 ESET 群集功能在被动节点上重新分发安装除了安装外 ESET 群集还将用作 PN%> 配置的复制以确保正确操作所需的群集节点之间的一致性 62 产品激活完成安装后将提示您激活您的产品 19

用于身份验证的用户名 CFG_PROXY_PASSWORD=<pass> 用于身份验证的密码 612 群集环境中的安装您可以在群集环境例如故障转移群集中部署 PN%> 我们建议您将 PN%>

20 选择一种可用方法来激活 ESET File Security 有关更多信息请参阅如何激活 ESET File Security 成功激活 ESET File Security 后主程序窗口将打开并在监视页面中显示您的当前状态主程序窗口还将显示有关其他项目的通知例如系统更新 Windows 更新或病毒库更新当处理完所有需要注意的项目后监视状态将变为绿色并显示状态最高防护 63 终端服务器如果您要在充当终端服务器的 Windows Server 上安装 ESET File Security 则建议您禁用 ESET File Security GUI 以防止其在每次用户登录时都启动有关禁用该 GUI 的具体步骤请参阅禁用终端服务器上的 GUI 64 ESET AV Remover 若要从系统中删除卸载第三方病毒防护软件我们建议您使用 ESET AV Remover 若要执行该操作请遵循以下步骤 1 从 ESET 网站实用程序下载页面下载 ESET AV Remover 2 单击我接受启动搜索来接受 EULA 并开始搜索您的系统 3 单击启动卸载程序删除已安装的病毒防护软件对于可以使用 ESET AV Remover 删除的第三方病毒防护软件的列表请参阅此知识库文章 65 升级到新版本发布 ESET File Security 的新版本以提供改进功能或修复无法通过程序模块的自动更新来解决的问题您可以升级到更新的版本通过针对现有版本来下载和安装更新的版本手动进行升级在安装开始时您可以选择通过选中使用当前设置旁的复选框来保留当前程序设置 20

Remover 若要从系统中删除卸载第三方病毒防护软件我们建议您使用 ESET AV Remover 若要执行该操作请遵循以下步骤 1 从 ESET 网站实用程序下载页面下载 ESET AV Remover 2 单击我接受启动搜索来接受 EULA 并开始搜索您的系统 3 单击启动卸载程序删除已安装的病毒防护软件对于可以使用 ESET

21 7 入门指南本章提供对 ESET File Security 菜单的主要部分功能及基本设置的概述 71 用户界面 ESET File Security 的主程序窗口分为两个主要部分右侧的主窗口显示与左侧的主菜单中选定选项相关的信息主菜单中的不同部分如下所述监视 - 提供有关 ESET File Security 的防护状态许可证有效性病毒库的最近更新的信息以及基本统计信息和系统信息日志文件 - 访问包含有关所有已发生的重要程序事件的信息的日志文件这些文件提供检测到的威胁和其他与安全相关的事件的概述扫描 - 允许您配置和启动存储扫描智能扫描自定义扫描或可移动磁盘扫描您还可以重复上次运行的扫描更新 - 显示有关病毒库的信息并在更新可用时通知您也可以从此会话中执行产品激活设置 - 您可以从此处调整服务器和计算机安全设置工具 - 除了提供可帮助您进一步管理安全的工具之外还提供有关您的系统和防护的附加信息工具部分包含以下项目运行进程查看活动 ESET 日志收集器防护统计群集 ESET Shell ESET SysInspector ESET SysRescue Live 用于创建修复 CD 或 USB 和计划任务您还可以提交样本以供分析并检查您的隔离区帮助和支持 - 提供对帮助页 ESET 知识库和其他支持工具的访问权限还提供用于打开客户服务支持请求的链接以及有关产品激活的信息监视部分中显示的防护状态为您提供有关计算机的当前防护级别的信息绿色最高防护状态表示已确保最高防护状态窗口还显示指向 ESET File Security 中常用功能的快速链接和有关上次更新的信息程序工作不正常时如何应对对于工作正常的模块会为其指定一个绿色对勾对于不完全工作的模块会为其指定一个红色惊叹号或橙色通知图标有关模块的其他信息显示在窗口的上半部分同时还显示用于修复该模块的建议解决方案若要更改单个模块的状态请在主菜单中单击设置然后单击所需模块红色图标表示发生严重问题不能确保为计算机提供最大程度的防护在以下情况下会显示此状态已禁用病毒和间谍软件防护 - 您可以通过单击防护状态窗格中的启用实时防护或主程序窗口的设置窗格中的启用病毒和间谍软件防护重新启用病毒和间谍软件防护您正在使用过期的病毒库该产品未激活您的许可证已过期 - 此问题由防护状态图标变为红色来表示许可证过期后该程序将无法更新我们建议您按照警报窗口中的说明续订许可证橙色图标表示 ESET 产品存在一个不严重的问题需要您关注可能的原因包括已禁用 Web 访问保护 - 您可以单击安全通知然后单击启用 Web 访问保护重新启用 Web 访问保护您的许可证即将到期 - 此问题由防护状态图标显示惊叹号来表示许可证过期后程序将无法更新防护状态图标将变为红色如果使用建议的解决方案无法解决问题请单击帮助和支持访问帮助文件或搜索 ESET 知识库如果仍然需要帮助可以提交 ESET 客户服务支持请求 ESET 客户服务将快速响应您的问题并帮助找到解决方案要查看防护状态请单击主菜单的顶部选项有关 ESET File Security 操作的状态摘要将显示在主窗口中并显示带有两个项目的子菜单查看活动和统计信息选择其中任意一个来查看有关系统的更详细信息 21

当 ESET File Security 以全功能运行时防护状态图标以绿色显示当需要您注意时它显示为橙色或红色单击查看活动可查看文件系统活动的实时图表横轴纵轴显示读取数据量蓝线和写入数据量红线统计信息子菜单允许您查看特定模块的被感染已清除和干净对象的数量通过从下拉列表中进行选择可以选择许多模块 711 设置保护 ESET File

22 当 ESET File Security 以全功能运行时防护状态图标以绿色显示当需要您注意时它显示为橙色或红色单击查看活动可查看文件系统活动的实时图表横轴纵轴显示读取数据量蓝线和写入数据量红线统计信息子菜单允许您查看特定模块的被感染已清除和干净对象的数量通过从下拉列表中进行选择可以选择许多模块 711 设置保护 ESET File Security 设置对于您的组织安全策略方面非常重要未经授权的更改可能会破坏系统的稳定和防护要访问用户界面设置请单击主菜单中的设置然后单击高级设置或在键盘上按 F5 依次单击用户界面 > 访问设置选择密码保护设置然后单击设置密码在新密码和确认密码字段中输入密码然后单击确定将来对 ESET File Security 进行修改时将需要此密码 22

72 日志文件日志文件包含所有已发生的重要程序事件的信息并提供检测到的威胁的概要信息日志是系统分析威胁检测以及故障排除的必要工具日志记录在后台主动执行无需用户交互对信息的记录是根据当前日志级别设置进行的可直接从 ESET File Security 环境查看文本消息和日志还可使用导出来压缩日志文件可从主程序窗口中访问日志文件方法是单击日志文件

23 72 日志文件日志文件包含所有已发生的重要程序事件的信息并提供检测到的威胁的概要信息日志是系统分析威胁检测以及故障排除的必要工具日志记录在后台主动执行无需用户交互对信息的记录是根据当前日志级别设置进行的可直接从 ESET File Security 环境查看文本消息和日志还可使用导出来压缩日志文件可从主程序窗口中访问日志文件方法是单击日志文件从下拉菜单中选择所需日志类型可用日志包括检测到的威胁 - 威胁日志提供有关 ESET File Security 模块检测到的渗透的详细信息信息包括检测时间渗透名称位置执行的操作以及检测到渗透时登录用户的名称双击任何日志条目以在单独的窗口中显示其详细信息事件 - ESET File Security 执行的所有重要操作都记录在事件日志中事件日志包含有关程序中发生的事件和错误的信息它旨在帮助系统管理员和用户解决问题通常这里找到的信息可以帮助您找到程序中所发生问题的解决方案计算机扫描 - 所有扫描结果在此窗口中显示每一行对应一个计算机控件双击任意条目以查看相应扫描的详细信息 HIPS - 包含特定规则的记录这些规则标记为用于记录该协议显示调用操作的应用程序结果无论已允许还是已禁止规则以及所创建的规则的名称已过滤的网站 - 如果您想要查看已由 Web 访问保护阻止的网站列表则此列表很有用在这些日志中您可以查看时间 URL 用户和打开了到特定网站的连接的应用程序设备控制 - 包含与计算机连接的可移动磁盘或设备的记录只有具有设备控制规则的设备才会记录到日志文件如果规则不匹配连接的设备则不会创建所连接设备的日志条目您还可以在这里找到设备类型序列号供应商名称和磁盘大小如果可用等详细信息在每一部分中显示的信息都可以复制到剪贴板键盘快捷方式为 Ctrl+C 方法是选择条目并单击复制 Ctrl 和 Shift 键可用于选择多个条目 23

24 单击开关图标过滤以打开日志过滤窗口您可以在该窗口中定义过滤条件通过右键单击特定记录可以显示右键菜单右键菜单提供以下选项显示 - 在新窗口中显示有关选中日志的更多详细信息相当于双击过滤相同的记录 - 这将激活日志过滤以便仅显示与所选记录类型相同的记录过滤 - 在单击此选项后日志过滤窗口将允许您为特定日志条目定义过滤条件启用过滤器 - 激活过滤器设置您必须在首次使用它时定义过滤条件此后它将仅根据之前定义的条件启用过滤器禁用过滤器 - 禁用过滤器相当于单击底部的开关此选项仅在启用过滤后才可用复制 - 将选定的突出显示的记录的信息复制到剪贴板中全部复制 - 复制窗口中所有记录的信息删除 - 删除选定的突出显示的记录此操作需要管理员权限全部删除 - 删除窗口中的所有记录此操作需要管理员权限导出 - 将选定的突出显示的记录的信息导出到 XML 文件中全部导出 - 将窗口中的所有信息导出到 XML 文件查找 - 打开在日志中查找窗口并允许您定义搜索条件处理已过滤的内容例如在仍存在非常多的记录时非常有用查找下一个 - 根据之前定义的搜索如上所述查找下一个匹配项查找上一个 - 查找上一个匹配项滚动日志 - 使此选项保持为启用状态以自动滚动旧日志并在日志文件窗口中查看活动日志 73 扫描手动扫描程序是 ESET File Security 的一个重要组成部分它可以扫描计算机上的文件和文件夹从安全角度说计算机扫描不应仅在怀疑有渗透时运行而是应作为日常安全手段的一部分定期运行这一点非常重要建议您执行定期例如一个月一次系统深度扫描以检测文件系统实时防护未检测到的病毒如果文件系统实时防护此时处于禁用状态病毒库未更新或者文件在保存到磁盘时未检测为病毒则会发生这种情况 24

25 提供两种计算机扫描智能扫描快速扫描系统无需进一步配置扫描参数自定义扫描允许您选择任意预定义的扫描配置文件以及定义特定扫描目标请参见扫描进度以了解有关扫描过程的更多信息存储扫描扫描本地服务器上的所有共享文件夹如果存储扫描不可用则表示您的服务器上不存在任何共享文件夹 Hyper-V 扫描如果 Hyper-V 管理器安装在运行 ESET File Security 的服务器上此选项将仅在菜单中可见 Hyper-V 扫描允许扫描 Microsoft Hyper-V Server 上的虚拟机 VM) 磁盘而无需在特定 VM 上安装任何服务器代理有关详细信息包括支持的主机操作系统和限制列表请参阅 Hyper-V 扫描智能扫描智能扫描允许您快速启动计算机扫描和清除被感染文件而无需用户干预智能扫描的优势是便于操作不需要详细的扫描配置智能扫描检查本地驱动器上的所有文件并自动清除或删除检测到的威胁清除级别被自动设置为默认值有关清除类型的更详细信息请参见清除自定义扫描如果您要指定扫描参数如扫描目标和扫描方法等自定义扫描是一个理想的解决方案自定义扫描的优点在于可以详细配置参数配置可以保存到用户定义的扫描配置文件中这在使用相同的参数重复扫描时非常有用要选择扫描目标请选择计算机扫描 > 自定义扫描然后从扫描目标下拉菜单中选择某个选项或从树结构中选择特定目标也可以通过输入要包括的文件或文件夹路径指定扫描目标如果您仅想扫描系统而不进行附加的清除操作则选择扫描但不清除执行扫描时可以通过依次单击设置 > ThreatSense 参数 > 清除从三个清除级别中进行选择仅建议具有病毒防护程序使用经验的高级用户使用自定义扫描来执行计算机扫描可移动磁盘扫描与智能扫描类似快速启动对已连接到计算机的可移动磁盘例如 CD/DVD/USB 的扫描这在您将 USB 闪存盘连接到计算机并想要扫描其内容是否存在恶意软件和其他潜在威胁时非常有用这一类型的扫描还可以这样启动单击自定义扫描然后从扫描目标下拉菜单中选择可移动磁盘并单击扫描重复上次扫描不管上次扫描是何种扫描存储智能自定义等都使用完全相同的设置运行它注意我们建议您每月至少运行一次计算机扫描在工具 > 计划任务下可以将扫描配置为计划任务 731 H y p e r-v 扫描 Hyper-V 病毒防护扫描提供扫描 Microsoft Hyper-V Server 即虚拟机 VM) 的磁盘的能力无需在特定的 VM 上安装任何服务器代理病毒防护使用 Hyper-V 服务器的管理员权限进行安装 Hyper-V 扫描派生自手动计算机扫描模块其中某些功能如扫描系统内存尚未实现支持的主机操作系统 Windows Server 2008 R2 - 虚拟机仅在脱机时才能进行扫描 Windows Server 2012 Windows Server 2012 R2 硬件要求服务器在运行虚拟机时不会出现任何性能问题在大部分情况下扫描本身仅使用 CPU 资源在扫描联机 VM 的情况下要求提供免费磁盘空间可用磁盘空间必须至少是检查点屏幕快照和虚拟磁盘所使用的空间的两倍 25

26 特定限制由于动态磁盘本身的原因不支持在 RAID 存储跨区卷和动态磁盘上进行扫描因此我们建议尽可能在 VM 中避免使用动态磁盘类型将始终只对当前虚拟机执行扫描并不会影响其检查点快照在群集中的主机上运行的 Hyper-V 当前并不受 ESET File Security 支持 Windows Server 2008 R2 上运行的 Hyper-V 主机中的虚拟机只能以只读模式进行扫描不清除不论在 ThreatSense 参数中选择了何种清除级别都是如此注意 ESET File Security 支持扫描虚拟磁盘 MBR 但这属于只读扫描默认情况下会执行 MBR 扫描可以在高级设置 > 病毒防护 > Hyper-V 扫描 > ThreatSense 参数 > 引导区中更改此设置要扫描的虚拟机处于脱机状态 - 已关闭状态 ESET File Security 使用 Hyper-V 管理来检测和连接到虚拟机的虚拟磁盘这样一来 ESET File Security 便可以像访问所有常规驱动器的数据和文件一样也访问虚拟磁盘的内容要扫描的虚拟机处于联机状态 - 正在运行已暂停已保存状态 ESET File Security 使用 Hyper-V 管理来检测虚拟机的虚拟磁盘无法实际连接到这些磁盘因此 ESET File Security 创建虚拟机的检查点快照然后连接到该检查点快照扫描完成后将删除该检查点快照这意味着可以执行只读扫描因为处于联机状态的虚拟机并未受影响仅当想要获取正在运行的虚拟机上是否存在受感染项的概要信息以及获取有关这些受感染项的详细信息如果有时非常有用创建检查点快照操作较为缓慢可能需要花费数几秒钟到１分钟的时间当计划在大量虚拟机上运行 Hyper-V 扫描时需要考虑此因素命名约定 Hyper-V 扫描模块始终遵循以下命名约定 VirtualMachineName\DiskX\VolumeY 其中 X 是磁盘数 Y 是卷数例如 Computer\Disk0\Volume1 添加的数字后缀基于检测的顺序后者与 VM 的磁盘管理器中显示的顺序相同此命名约定用于要扫描的目标的树状列表进度条以及日志文件执行扫描可以通过３种方式执行扫描手动如果您单击 ESET File Security 菜单中的 Hyper-V 扫描选项您将看到要扫描的可用虚拟机如果有的列表它是一个树状列表其中要扫描的最低级别实体是一个卷意味着您无法选择要扫描的目录或文件且必须至少扫描整个卷为了列出可用的卷我们必须连接到特定的虚拟磁盘这可能需要花费几秒钟的时间因此更快的选择是标记要扫描的虚拟机或其磁盘在您标记了所需的要进行扫描的虚拟机磁盘或卷后请单击扫描按钮通过计划程序通过 ERA 作为客户端任务称为服务器扫描要扫描的最低级别项目为虚拟机的某个磁盘可以同时执行多个 Hyper-V 扫描扫描完成后您将看到关于它的通知和一个显示日志链接通过该链接您可以查看已完成扫描的详细信息所有扫描日志均可在 ESET File Security 的日志文件部分内找到但是您必须从下拉菜单中选择 Hyper-V 扫描才能看到相关的日志可能的问题 26

执行联机虚拟机的扫描时必须创建特定虚拟机的检查点快照并且在创建检查点/快照期间可能会限制或禁用虚拟机的某些常规操作如果正在扫描脱机虚拟机在扫描完成之前将无法启动该虚拟机 Hyper-V 管理器允许用完全相同的名称命名两个不同的虚拟机但是这会在查看扫描日志并尝试区分计算机时产生问题 74 更新定期更新 ESET File Security 是保持计算机的最高安全级别的最佳方法

27 执行联机虚拟机的扫描时必须创建特定虚拟机的检查点快照并且在创建检查点/快照期间可能会限制或禁用虚拟机的某些常规操作如果正在扫描脱机虚拟机在扫描完成之前将无法启动该虚拟机 Hyper-V 管理器允许用完全相同的名称命名两个不同的虚拟机但是这会在查看扫描日志并尝试区分计算机时产生问题 74 更新定期更新 ESET File Security 是保持计算机的最高安全级别的最佳方法更新模块通过两种方式确保程序始终处于最新状态即更新病毒库和更新系统组件通过在主程序窗口中单击更新可以查看当前更新状态包括上一次成功更新的日期和时间以及是否需要更新主窗口还包含病毒库版本此数值指示是指向 ESET 网站的活动链接其中列出了在给定更新中添加的所有病毒库若要开始更新过程请单击立即更新更新病毒库和更新程序组件是维持全面防范恶意代码的重要组成部分上次成功更新 - 最近一次更新的日期确保是最近的日期表明病毒库是最新的病毒库版本 - 病毒库编号它也是指向 ESET 网站的活跃链接单击可以查看在给定更新中添加的所有病毒库的列表更新过程单击立即更新后将开始下载过程并显示更新进度要中断更新请单击取消更新重要信息一般情况下如果更新可正常下载消息不需要更新病毒库是最新的将显示在更新窗口中如果不是这样则表示程序不是最新的且更容易被感染请尽快更新病毒库否则会显示下列消息之一病毒库已过期 - 此错误将在几次尝试更新病毒库失败之后显示建议您检查更新设置此错误的最常见原因是错误地输入了验证数据或错误地配置了连接设置 27

28 以前的通知与下列两条有关不成功更新的病毒库更新失败消息相关无效的许可证 - 更新设置中输入了错误的许可证密钥建议您检查验证数据高级设置窗口按下键盘上的 F5 中包含其他更新选项从主菜单中单击帮助和支持 > 管理许可证以输入新的许可证密钥下载更新文件时出错 - 此错误的原因可能是不正确的 Internet 连接设置建议您在 Web 浏览器中打开任意网站检查 Internet 连接如果网站打不开很可能未建立 Internet 连接或者计算机存在连接问题请与 Internet 服务提供商 ISP) 联系以确定您是否有活动的 Internet 连接注意有关详细信息请访问此 ESET 知识库文章 741 设置病毒库更新更新病毒库和程序组件是全面防范恶意代码的重要组成部分请注意其配置和操作从主菜单中转到更新然后单击立即更新检查是否有更新的病毒库您可以从高级设置窗口按键盘上的 F5 键配置更新设置若要配置高级更新选项如更新模式代理服务器访问 LAN 连接和病毒库副本设置镜像请单击左侧的高级设置窗口中的更新如果更新出现了问题请单击清除缓存以清除临时更新文件夹默认情况下将更新服务器菜单设置为自动选择自动选择意味着将自动选中更新服务器病毒库下载的来源建议您保持选中默认的选项如果您不希望屏幕右下角的系统托盘通知出现请选择禁用显示关于成功更新的通知自动更新程序对获得最佳功能非常重要只有在帮助和支持 > 激活许可证中输入了正确的许可证密钥时才可以执行此操作如果您在安装后没有激活产品您可以随时激活产品有关激活的详细信息请参阅如何激活 ESET File Security 并将您随 ESET 安全产品收到的许可证数据输入到许可证详细信息窗口中 742 配置代理服务器进行更新如果在已安装 ESET File Security 的系统上使用用于 Internet 连接的代理服务器则必须在高级设置中配置代理设置若要访问代理服务器配置窗口请按 F5 打开高级设置窗口然后依次单击更新 > HTTP 代理从代理模式下拉菜单中选择通过代理服务器连接并填写您的代理服务器详细信息代理服务器(IP 地址端口号用户名和密码(如果适用如果您不确定代理服务器的详细信息则可以通过从下拉列表中选择使用全局代理服务器设置尝试自动检测代理服务器设置注意对于不同的更新配置文件代理服务器选项可能也有所不同在这种情况下单击高级设置树中的更新 > 配置文件 75 设置设置菜单包含以下三个选项卡服务器计算机工具 28

29 751 服务器 ESET File Security 通过一些基本功能为您的服务器提供防护这些功能诸如病毒和间谍软件防护常驻防护实时防护 Web 访问保护以及电子邮件客户端防护在 ESET File Security - 计算机下您可以阅读有关每种类型的防护的详细信息自动排除功能可识别重要的服务器应用程序和服务器操作系统文件并自动将它们添加到排除列表此功能可将潜在冲突的风险降至最低并在运行病毒防护软件时提高服务器的整体性能若要设置 ESET 群集请单击群集向导有关如何使用向导设置 ESET 群集的详细信息请单击此处如果要设置更多详细选项请单击高级设置或按 F5 在设置窗口的底部还有其他选项若要使用 xml 配置文件加载设置参数或将当前设置参数保存为配置文件请使用导入导出设置有关详细信息请参阅导入导出设置 752 计算机 ESET File Security 具有用于确保将服务器作为计算机进行重点保护的所有必需组件每个组件都提供特定类型的防护例如病毒和间谍软件防护文件系统实时防护 Web 访问保护电子邮件客户端防护网络钓鱼防护等计算机部分可以在设置 > 计算机下找到您将看到可启用禁用使用开关的组件的列表若要配置特定项的设置请单击齿轮对于文件系统实时防护可选择编辑排除这将打开排除设置窗口您可以从中排除不扫描的文件和文件夹暂停病毒和间谍软件防护 - 在您临时禁用病毒和间谍软件防护时可以使用下拉菜单选择您希望禁用所选组件的时间段然后单击应用以禁用该安全组件要重新启用防护请单击启用病毒和间谍软件防护 29

计算机模块允许您启用禁用并配置以下组件文件系统实时防护 - 在计算机上打开创建或运行任何文件时都将扫描该文件是否带有恶意代码文档防护 - 文档防护功能会在打开 Microsoft Office 文档之前对其进行扫描还会扫描通过 Internet Explorer 自动下载的文件如 Microsoft ActiveX 元素设备控制 - 此模块允许您扫描阻止或调整扩展的过滤器权限

30 计算机模块允许您启用禁用并配置以下组件文件系统实时防护 - 在计算机上打开创建或运行任何文件时都将扫描该文件是否带有恶意代码文档防护 - 文档防护功能会在打开 Microsoft Office 文档之前对其进行扫描还会扫描通过 Internet Explorer 自动下载的文件如 Microsoft ActiveX 元素设备控制 - 此模块允许您扫描阻止或调整扩展的过滤器权限并定义用户是否能够访问和使用给定设备 HIPS - HIPS 系统监视操作系统内发生的事件并按照自定义的规则集进行响应演示模式 - 为那些需要不中断其使用软件不希望被弹出窗口打扰并希望尽量减少 CPU 使用的用户提供的功能启用演示模式后您将收到警告消息潜在安全风险主程序窗口将变为橙色反隐藏防护 - 提供对可在操作系统下隐藏自己的危险程序的检测例如 Rootkit 这意味着使用普通测试技术很难检测到它们 Web 访问保护 - 如果启用将扫描所有通过 HTTP 或 HTTPS 的通信以查看是否有恶意软件电子邮件客户端防护 - 监视通过 POP3 和 IMAP 协议接收的通信网络钓鱼防护 - 防止冒充合法网站的非法网站尝试获取密码银行数据和其他敏感信息从而为您提供保护注意默认情况下文档防护处于禁用状态如果需要您可以通过单击开关图标轻松地启用它在设置窗口的底部还有其他选项若要使用 xml 配置文件加载设置参数或将当前设置参数保存为配置文件请使用导入导出设置有关详细信息请参阅导入导出设置如果要设置更多详细选项请单击高级设置或按 F5 30

31 753 工具诊断日志记录 - 配置在诊断日志记录启用后将编写诊断日志的组件当您单击开关以启用诊断日志记录时您可以选择启用该功能的时间１分钟３分钟１小时４小时２４小时直到下一次服务器重启或永久此选项卡内未显示的组件将始终编写诊断日志在选定时段内启用诊断日志记录 31

32 754 导入和导出设置可在设置下通过依次单击导入导出设置来导入和导出 ESET File Security 的配置导入和导出都使用 xml 文件类型如果您需要备份 ESET File Security 的当前设置导入和导出十分有用以后可将其用于对其他计算机应用相同的设置 32

33 76 工具工具菜单包含的模块可帮助简化程序管理并提供附加选项它包含以下工具正在运行的进程查看活动防护统计群集 ESET Shell ESET SysInspector ESET SysRescue Live 计划任务提交样本以供分析隔离区 33

761 运行的进程运行的进程显示计算机上运行的程序或进程并保持 ESET 立刻且持续地获知新入侵 ESET File Security 提供有关运行的进程的详细信息以通过启用 ESET LiveGrid 技术来保护用户风险级别 - 在大多数情况下 ESET File Security 和 ESET LiveGrid 技术使用一系列启发式规则检查每个对象的特性

34 761 运行的进程运行的进程显示计算机上运行的程序或进程并保持 ESET 立刻且持续地获知新入侵 ESET File Security 提供有关运行的进程的详细信息以通过启用 ESET LiveGrid 技术来保护用户风险级别 - 在大多数情况下 ESET File Security 和 ESET LiveGrid 技术使用一系列启发式规则检查每个对象的特性然后评估恶意活动的可能性从而将风险级别指定给对象文件过程注册表项等基于这些启发式扫描会向对象指定风险级别级别从 1 - 良好绿色到 9 - 危险红色进程 - 当前在计算机上运行的程序或进程的映像名称要查看计算机上运行的所有进程还可以使用 Windows 任务管理器可以通过右键单击任务栏中的空白区域然后单击任务管理器或者通过按下键盘上的 Ctrl+Shift +Esc 来打开任务管理器 PID - 是在 Windows 操作系统中运行的进程的 ID 注意标记为良好绿色的已知应用程序肯定干净白名单并且不会经过扫描因为这样将改善手动计算机扫描的扫描速度或计算机上的实时文件系统防护用户数量 - 使用给定应用程序的用户数量此信息由 ESET LiveGrid 技术收集发现时间 - 自从应用程序被 ESET LiveGrid 技术发现以来的时段注意当应用程序被标记为未知橙色安全级别时它不一定就是恶意软件通常它是一个较新的应用程序如果您对文件不确定请使用提交样本以供分析功能将该文件发送到 ESET 病毒实验室如果证实文件是一个恶意应用程序则以后的某个病毒库更新中将增加对它的检测应用程序名称 - 此进程所属程序的给定名称 34

通过单击底部的给定应用程序以下信息将显示在窗口底部路径 - 计算机上应用程序的位置大小 - 以 kb 千字节或 MB 兆字节为单位的文件大小说明 - 基于操作系统说明的文件特性公司 - 供应商或应用程序进程的名称版本 - 来自应用程序发布者的信息产品 - 应用程序名称和或企业名称创建日期 - 创建应用程序的日期和时间修改日期 - 最后一次修改应用程序的日期和时间注意

35 通过单击底部的给定应用程序以下信息将显示在窗口底部路径 - 计算机上应用程序的位置大小 - 以 kb 千字节或 MB 兆字节为单位的文件大小说明 - 基于操作系统说明的文件特性公司 - 供应商或应用程序进程的名称版本 - 来自应用程序发布者的信息产品 - 应用程序名称和或企业名称创建日期 - 创建应用程序的日期和时间修改日期 - 最后一次修改应用程序的日期和时间注意还可以对不充当运行程序进程的文件检查信誉 - 标记要检查的文件右键单击它们然后从右键菜单中依次选择高级选项 > 使用 ESET LiveGrid 检查文件信誉 762 查看活动若要以图表形式查看当前文件系统活动请单击工具 > 查看活动将在两个图表中向您显示在系统中读取和写入的数据量图表的底部是时间线用于实时记录选定时间范围内的文件系统活动若要更改时间范围请从刷新率下拉菜单中进行选择 35

有以下选项可供使用 1 秒 - 图表每秒刷新一次时间线范围为最后１分钟 1 分钟最后２４小时 - 图表每分钟刷新一次时间线范围为最后２４小时 1 小时最后一个月 - 图表每小时刷新一次时间线范围为最后一个月 1 小时选定月份 - 图表每小时刷新一次时间线范围为选定的月份单击更改月份按钮进行其他选择文件系统活动图表的纵轴表示读取的数据量蓝色和写入的数据量红色

36 有以下选项可供使用 1 秒 - 图表每秒刷新一次时间线范围为最后１分钟 1 分钟最后２４小时 - 图表每分钟刷新一次时间线范围为最后２４小时 1 小时最后一个月 - 图表每小时刷新一次时间线范围为最后一个月 1 小时选定月份 - 图表每小时刷新一次时间线范围为选定的月份单击更改月份按钮进行其他选择文件系统活动图表的纵轴表示读取的数据量蓝色和写入的数据量红色这两个值均以 KB 千字节 MB/ GB 为单位如果将鼠标移到图表下方图例中的读取数据或写入数据的上方图表将仅显示该活动类型的数据 7621 时段选择选择要在图表中查看的文件系统活动的月份和年份 763 E S E T Lo g Co lle c to r ESET Log Collector 是一个应用程序它自动从服务器收集信息例如配置和日志以便帮助更快地解决问题如果 ESET 客户服务部门正在处理您的案例可能会要求您提供计算机日志 ESET 日志收集器可使您轻松收集所需信息 ESET Log Collector 可从主菜单中访问方法是依次单击工具 > ESET 日志收集器选择与您想要收集的日志对应的复选框如果您不确定要选择的内容请使所有复选框都处于选中状态默认指定要保存压缩文件的位置然后单击保存压缩文件名已预定义单击收集 36

在收集期间您可以查看底部的操作日志窗口以查看当前正在进行的操作完成收集后将显示所有收集和压缩的文件这表示收集已成功并且压缩文件例如 emsx_logszip 已经保存在指定的位置中有关 ESET Log Collector 的进一步信息以及 ESET Log Collector 实际收集的文件的列表请访问 ESET 知识库 764 防护统计要查看与 ESET File

37 在收集期间您可以查看底部的操作日志窗口以查看当前正在进行的操作完成收集后将显示所有收集和压缩的文件这表示收集已成功并且压缩文件例如 emsx_logszip 已经保存在指定的位置中有关 ESET Log Collector 的进一步信息以及 ESET Log Collector 实际收集的文件的列表请访问 ESET 知识库 764 防护统计要查看与 ESET File Security 的防护模块相关的统计数据的图表请依次单击工具 > 防护统计从统计信息下拉菜单中选择所需的保护模块可以查看相应的图表和图例如果将鼠标移到图例中的项目上则图表中将仅显示该项目的数据以下统计图表可供使用病毒和间谍软件防护 - 显示被感染对象和已清除对象的总数文件系统防护 - 仅显示已读取或写入文件系统的对象电子邮件客户端防护 - 仅显示电子邮件客户端发送或接收的对象 Web 访问和网络钓鱼防护 - 仅显示 Web 浏览器下载的对象在统计图表旁边您可以看到所有已扫描对象数被感染对象数已清除对象数和干净对象数单击重置以清除统计信息或单击全部重置以清除并删除所有现有数据 37

38 765 群集 ESET 群集是 Microsoft Windows Server 的 ESET 产品线的 P2P 通信基础架构此基础架构使 ESET Server 产品能够相互通信和交换数据例如配置和通知以及同步产品实例组正确操作所需的数据此组的一个示例是安装了 ESET 产品的 Windows 故障转移群集或网络负载平衡 NLB) 群集中的一个节点组在该群集中需要使整个群集上的产品配置都一致 ESET 群集可确保实例之间的一致性注意用户界面设置在 ESET 群集节点之间不会进行同步正确配置后 ESET 群集状态页可从工具 > 群集的主菜单访问且该状态页应如下所示若要设置 ESET 群集请单击群集向导有关如何使用向导设置 ESET 群集的详细信息请单击此处设置 ESET 群集时有两种添加节点的方式使用现有的 Windows 故障转移群集 NLB 群集自动添加或通过浏览工作组或域中的计算机手动添加自动检测 - 自动检测已经是 Windows 故障转移群集 NLB 群集成员的节点并将其添加到 ESET 群集浏览 - 您可以通过键入服务器名称同一工作组的成员或同一域的成员手动添加节点注意若要使用 ESET 群集功能服务器不一定要是Windows 故障转移群集 NLB 群集的成员若要使用 ESET 群集您的环境中并不需要 Windows 故障转移群集或 NLB 群集将节点添加到 ESET 群集后下一步是在每个节点上安装 ESET File Security 此操作已在 ESET 群集设置期间自动完成在其他群集节点上远程安装 ESET File Security 所需的凭据域方案域管理员凭据工作组方案您需要确保所有节点使用相同的本地管理员帐户凭据 38

39 在 ESET 群集中您还可以使用自动添加为现有 Windows 故障转移群集 NLB 群集成员的节点以及手动添加的节点前提是它们位于相同的域中的组合注意无法合并域节点和工作组节点使用 ESET 群集的另一项要求是必须先在 Windows 防火墙中启用文件和打印机共享然后才能在 ESET 群集节点上进行 ESET File Security 安装通过单击销毁群集即可轻松清除 ESET 群集每个节点都会在它们的事件日志中写入一条关于 ESET 群集销毁的记录之后所有 ESET 防火墙规则都将从 Windows 防火墙中删除之前的节点将恢复为其以前的状态并且可再次用于其他 ESET 群集如有必要注意在 ESET File Security 和 ESET File Security for Linux 之间创建 ESET 群集不受支持可以随时将新的节点添加到现有的 ESET 群集方法是采用上面以及此处所述的方式运行群集向导 7651 群集向导第１页设置 ESET 群集的第一步是添加节点您可以使用自动检测选项或浏览来添加节点或者您可以在文本框中键入服务器名称然后单击添加自动检测可从现有 Windows 故障转移群集网络负载平衡 NLB) 群集中自动添加节点若要自动添加节点您用来创建 ESET 群集的服务器需是此 Windows 故障转移群集 NLB 群集的成员 NLB 群集必须在 ESET 群集的群集属性中启用允许远程控制功能以便 ESET 群集能够正确检测节点在获得新添加的节点的列表后如果您只想要 ESET 群集中的特定节点您可以删除不需要的节点单击浏览来查找并选择域或工作组中的计算机此方法允许手动将节点添加到 ESET 群集另一种添加节点的方式是通过键入您想要添加的服务器的主机名然后单击添加 39

40 单击下一步后当前选中的要添加到 ESET 群集的群集节点若要修改列表中的群集节点选择您想要删除的节点并单击删除或单击全部删除以完全清除列表如果您已经有现有 ESET 群集您可以随时向其添加新节点这些步骤与上面所述的步骤相同注意列表中保留的所有节点都必须联机且可读默认情况下本地主机将添加到群集节点中 40

7652 群集向导第２页定义群集名称证书分发模式以及是否在其他节点上安装产品群集名称 - 键入您的群集名称侦听端口 - 默认端口为９７７７在 Windows 防火墙中打开端口 - 如果选中的规则是在 Windows 防火墙中创建的证书分发自动远程 - 证书将自动安装手动 - 在您单击生成时浏览窗口将打开选择要在其中存储证书的文件夹将创建一个根证书

41 7652 群集向导第２页定义群集名称证书分发模式以及是否在其他节点上安装产品群集名称 - 键入您的群集名称侦听端口 - 默认端口为９７７７在 Windows 防火墙中打开端口 - 如果选中的规则是在 Windows 防火墙中创建的证书分发自动远程 - 证书将自动安装手动 - 在您单击生成时浏览窗口将打开选择要在其中存储证书的文件夹将创建一个根证书并且将为每个节点包括您用于设置 ESET 群集的节点本地计算机创建一个证书然后通过单击是选择将证书注册到本地计算机稍后您将需要手动导入证书如此处所述产品安装到其他节点自动远程 - ESET File Security 将在每个节点上自动安装前提是它们的操作系统都采用相同的架构手动 - 如果您想要手动安装 ESET File Security 例如当您在某些节点上拥有不同的操作系统架构时则选择此选项在未激活产品的情况下将许可证推送到节点 - 选中此选项时节点将激活 ESET File Security 注意如果您想要使用混合操作系统架构３２位和６４位创建 ESET 群集则需要手动安装 ESET File Security 后续步骤将对此进行检测您将在日志窗口中看到此信息 41

42 7653 群集向导第３页指定安装详细信息后节点检查将运行您将在节点检查日志中看到以下正在检查的内容检查所有现有节点均处于联机状态检查新节点可供访问节点处于联机状态管理员共享可供访问可以进行远程执行已安装正确版本的产品或者无产品仅在选择了自动安装时检查是否存在新的证书 42

43 完成节点检查后您即可看到报告 43

$7654 群集向导第４页如果在 ESET 群集初始化期间必须在远程计算机上安装产品安装程序包将检查 ProgramData%\ESET \<Produt_name>\Installer$

44 7654 群集向导第４页如果在 ESET 群集初始化期间必须在远程计算机上安装产品安装程序包将检查 ProgramData%\ESET \<Produt_name>\Installer 目录中是否存在安装程序如果在该处找不到安装程序包系统将要求用户查找一个安装程序包注意尝试将自动远程安装用于具有不同平台３２位与６４位的节点时将对此进行检测并且将建议手动安装此节点 44

45 注意: 如果您已在某些节点上安装了较旧版本的 ESET File Security 则在创建群集前需要在这些计算机上重新安装较新版本的 ESET File Security 这可能会导致这些计算机自动重新启动在此情况下您应该会看到一个警告 45

46 正确配置 ESET 群集后它将在设置 > 服务器页中显示为已启动 46

此外您还可以在群集状态页工具 > 群集中检查其当前状态导入证书导航到包含证书在使用群集向导期间生成的文件夹选择证书文件并单击打开 766 E S E T S he ll eshell ESET Shell 的简称是 ESET File Security 的命令行界面它是图形用户界面 GUI) 的替代 eshell 具有 GUI 通常可提供的所有功能和选项 eshell

47 此外您还可以在群集状态页工具 > 群集中检查其当前状态导入证书导航到包含证书在使用群集向导期间生成的文件夹选择证书文件并单击打开 766 E S E T S he ll eshell ESET Shell 的简称是 ESET File Security 的命令行界面它是图形用户界面 GUI) 的替代 eshell 具有 GUI 通常可提供的所有功能和选项 eshell 可用来配置和管理整个程序而无需使用 GUI 除了在 GUI 中提供的所有功能和特性它还通过运行脚本来配置修改配置或执行操作来提供实现自动化的可能性而且 eshell 对于喜欢使用命令行而非 GUI 的用户可能比较有用 eshell 的运行模式有两种交互模式当您想要使用 eshell 不仅仅执行单个命令执行更改配置查看日志等任务时它会很有用即使您还不熟悉所有命令也可以使用交互模式在 eshell 中导航时交互模式可以使之更容易它还显示可以在特定上下文中使用的命令单个命令批处理模式如果您仅需要执行单个命令则可以使用该模式而无需进入 eshell 的交互模式若要执行此操作可以在 Windows 命令提示下键入eshell 来执行此操作例如 eshell get status 或 eshell set antivirus status disabled 为了在批处理脚本模式下运行某些命令例如上述第二个示例您需要首先配置几个设置否则您会收到访问被拒绝消息这是出于安全考虑注意要获取完整功能我们建议您使用以管理员身份运行来打开 eshell 通过 Windows 命令提示 cmd) 运行单个命令时也可使用此方法使用以管理员身份运行打开 cmd 否则您将无法执行所有命令这是因为当 47

您使用除管理员以外的其他帐户打开 cmd 或 eshell 时您没有足够的权限注意为了从 Windows 命令提示下运行 eshell 命令或运行批处理文件您需要进行一些设置有关运行批处理文件的进一步信息请单击此处若要进入 eshell 交互模式可以使用以下两种方式之一通过 Windows 开始菜单开始 > 所有程序 > ESET > > ESET shell 在

48 您使用除管理员以外的其他帐户打开 cmd 或 eshell 时您没有足够的权限注意为了从 Windows 命令提示下运行 eshell 命令或运行批处理文件您需要进行一些设置有关运行批处理文件的进一步信息请单击此处若要进入 eshell 交互模式可以使用以下两种方式之一通过 Windows 开始菜单开始 > 所有程序 > ESET > > ESET shell 在 Windows 命令提示下键入eshell 并按 Enter 键当您第一次在交互模式下运行 eshell 时将显示首次运行指南屏幕注意如果想要在将来首先显示运行屏幕则键入guide 命令它显示了如何使用 eshell 的一些基本示例带有语法前缀命令路径缩写格式别名等它实质上是 eshell 的快速指南下次运行 eshell 时您将看到此屏幕注意命令不区分大小写无论使用大写还是小写字母都将执行该命令自定义 eshell 您可以自定义 eshell 在ui eshell 上下文中您可以为脚本配置别名颜色语言执行策略您可以选择显示隐藏命令以及进行一些其他设置 7661 用法语法用正确的语法编写命令格式命令才有效命令可以由前缀上下文自变量和选项等组成这是 eshell 中常用的语法 [<前缀 ] [<命令路径 ] <命令 [<自变量 ] 示例这将激活文档防护 SET ANTIVIRUS DOCUMENT STATUS ENABLED SET - 前缀 ANTIVIRUS DOCUMENT STATUS - 命令本身 - 命令的自变量 ENABLED 48 - 特定命令的路径此命令所属的上下文

49 使用? 作为命令的参数将显示该特定命令的语法例如 STATUS? 将显示STATUS 命令的语法语法 [get] status set status enabled disabled 您可能注意到[get] 使用了方括号它表示前缀get 是status 命令的默认值这意味着当您执行status 而不指定任何前缀时实际将使用默认前缀在此情况下为get status) 使用无前缀的命令可在键入时节省时间通常 get 是大多数命令的默认前缀但您需要清楚特定命令的默认前缀是什么而且它确实是您想执行的注意命令不区分大小写无论使用大写还是小写字母命令将同样执行前缀操作前缀表示一种操作 GET 前缀将提供如何配置 ESET File Security 的特定功能的信息或显示状态例如GET ANTIVIRUS STATUS 将显示当前防护状态 SET 前缀将配置功能或更改其状态 SET ANTIVIRUS STATUS ENABLED 将激活防护这些是 eshell 允许您使用的前缀命令可能支持也可能不支持其中一些前缀 - 返回当前设置状态 - 设置值状态 SELECT - 选择项目 ADD - 添加项目 REMOVE - 删除项目 CLEAR - 删除所有项目文件 START - 开始操作 STOP - 停止操作 PAUSE - 暂停操作 RESUME - 继续操作 RESTORE - 恢复默认设置对象文件 SEND - 发送对象文件 IMPORT - 从文件导入 EXPORT - 导出到文件 GET SET 类似GET 和 SET 的前缀可用于许多命令但某些命令例如EXIT 则不使用前缀命令路径上下文命令被放置在形成树结构的上下文中树结构的顶层是根目录当运行 eshell 时您处于根目录级 eshell> 49

50 您可以从此处执行命令也可以输入上下文名称在树中导航例如当您输入TOOLS 上下文时将列出所有命令和此处可用的子上下文黄色项目是可以执行的命令灰色项目是可以输入的子上下文子上下文包含更多命令如果需要返回到上一级则使用两个点例如假设您在此位置 eshell antivirus startup> 键入将让您向上一级达到 eshell antivirus> 如果想要从eShell antivirus startup> 比根目录低两级返回到根目录只要键入两个点和由空格隔开的另外两个点即可这样您将向上两级在此情况下为根目录使用反斜杠\ 从任意层级直接返回到根无论您处在上下文树结构中的哪一个层级如果您想要访问较高级别的特定上下文只需使用相应数目的作为您需要访问所需层级对应的数目但要使用空格作为分隔符例如如果您想要访问三个更高级别则使用路径相对于当前上下文如果命令包含在当前上下文中则不输入路径例如要执行GET 则输入 - 如果在根上下文中命令行显示 eshell> ) GET STATUS - 如果在上下文ANTIVIRUS 中命令行显示eShell antivirus>) GET STATUS - 如果在上下文ANTIVIRUS STARTUP 命令行将显示eShell antivirus ANTIVIRUS STATUS GET ANTIVIRUS STATUS startup> ) 注意您可以使用一个点而不是两个因为一个点是两个点的缩写例如 GET STATUS - 如果在上下文ANTIVIRUS STARTUP 命令行将显示eShell antivirus startup> ) 自变量自变量是为特定命令执行的操作例如命令CLEAN-LEVEL 位于ANTIVIRUS 一起使用 REALTIME ENGINE 中可以与以下参数 - 不清除 normal - 正常清除 strict - 严格清除 no 另一个例子是自变量ENABLED 或DISABLED 它们用于启用或禁用特定特性或功能缩写格式简写命令 eshell 允许您简写上下文命令和自变量如果自变量是开关或备用选项如果前缀或自变量是类似数字名称或路径的具体值则无法简写 50

51 简写格式示例 set status enabled => set stat en add antivirus common scanner-excludes C:\path\fileext => add ant com scann C:\path\fileext 如果有两个命令或上下文以相同字母开始例如ABOUT 和ANTIVIRUS 而且输入A 作为简写的命令 eshell 将不能决定您想运行这两个命令中的哪一个它将显示错误消息并列出以 A 开头的命令供您选择 eshell>a 以下命令不是唯一的 a 以下命令在此上下文中可用 ABOUT - 显示有关程序的信息 ANTIVIRUS - 对上下文病毒防护进行的更改通过添加一个或多个字母例如AB 而不仅仅是A) eshell 将执行ABOUT 命令因为它现在是唯一的注意: 当您想要确保命令以需要的方式执行时我们建议不要缩写命令自变量等而是使用完整格式这样可以按您的需要精确执行防止出现不希望发生的错误对于批处理文件脚本尤其是这样自动完成这是自版本２起的 eshell 中的新功能这与 Windows 命令提示中的自动完成非常相似只不过 Windows 命令提示完成文件路径而 eshell 还完成命令上下文和操作名称不支持参数完成当键入命令时只需按 TAB 键即可完成或通过可用变体进行循环按 SHIFT + TAB 循环后退不支持混合缩写形式和自动完成使用两者中的一种例如当您键入antivir real scan 后按 TAB 键将不起任何作用应改为键入antivir 然后按 TAB 以完成 antivirus 继续键入 real 同时按 TAB 并且键入 scan 同时按 TAB 随后可以通过所有可用变体进行循环 scancreate scan-execute scan-open 等等别名别名是可以用来执行命令的备用名称假设已为命令指定了别名下面是一些默认别名 - 退出 - 退出 (global) bye - 退出 warnlog - 工具日志事件 virlog - 工具日志检测 (global) close (global) quit antivirus on-demand log - 工具日志扫描 global) 表示命令可以用在任何地方而不管当前的上下文如何一个命令可以有多个别名例如命令EXIT 具有别名CLOSE, QUIT 和BYE 当您想要退出 eshell 时可以使用EXIT 命令本身或其任意别名别名VIRLOG 是命令 DETECTIONS 的别名该命令位于TOOLS LOG 上下文中这样检测命令在ROOT 上下文中将可用从而更便于访问您不必输入TOOLS 然后再输入LOG 上下文而是从ROOT) eshell 允许您定义自己的别名命令ALIAS 可在以下位置找到 UI ESHELL 上下文密码保护设置 ESET File Security 设置可由密码保护您可以设置使用 GUI 的密码或 eshell 使用set ui access lock-password 命令然后您将必须以交互方式为某些命令例如更改设置或修改数据的命令输入此密码如果您计划长期使用 eshell 并且不希望重复输入密码您可以使用以下命令使 eshell 记住密码 set password 随后即可为每个需要密码的执行命令自动填写您的密码只要不退出 eshell 它将一直记住密码这意味着在以下情况中您需要再次使用set password 当您启动新会话并希望 eshell 记住您的密码时指南帮助当您运行GUIDE 或HELP 命令时它将显示首次运行屏幕解释如何使用 eshell 此命令在ROOT 上下文中可用 eshell> ) 命令历史记录 eshell 保留以前执行的命令的历史记录这仅应用于当前 eshell 交互会话一旦退出 eshell 命令历史记录将被废弃使用键盘上的向上和向下箭头键可在历史记录中浏览一旦找到所寻找的命令就可以再次执行它或修改它而无需从头键入整个命令 CLS/清除屏幕 CLS 命令可用于清除屏幕它的工作方式与 Windows 命令提示相同或与命令行界面相似 51

52 EXIT / CLOSE / QUIT / BYE 要关闭或退出 eshell 您可以使用以下任意命令 EXIT, CLOSE, QUIT 或BYE) 7662 命令本节列出附带说明的几个 eshell 基础命令作为示例注意命令不区分大小写无论使用大写还是小写字母命令将同样执行示例命令包含在 ROOT 上下文中 ABOUT 列出有关程序的信息它显示安装的产品名称版本号安装的组件包括每个组件的版本号和有关服务器和运行 ESET File Security 的操作系统的基本信息上下文路径 root PASSWORD 通常出于安全原因若要执行受密码保护的命令将提示您键入密码它应用于类似禁用病毒防护和可能影响 ESET File Security 功能的命令每次执行这样的命令时都会提示您输入密码为了避免每次都输入密码可以定义此密码 eshell 将记住该密码并在执行受密码保护的命令时自动使用它这样就不必每次都输入密码注意定义的密码仅对于当前 eshell 交互会话起作用一旦退出 eshell 该定义的密码将被废弃再次启动 eshell 时需要重新定义密码在运行批处理文件脚本时该定义的密码也很有用以下是此类批处理文件的示例 eshell start batch "&" set password plain <yourpassword> "&" set status disabled 上面这一连接的命令将启动批处理模式定义将使用的密码以及禁用保护上下文路径 root 语法 [get] restore password set password [plain <password>] 操作 get - 显示密码 set - 设置或清除密码 restore - 清除密码自变量 plain - 切换到输入密码作为参数 password - 密码示例 set password plain <yourpassword> restore password 52 - 清除密码 - 设置密码该密码将用于受密码保护的命令

53 示例 get password - 使用此命令可查看密码是否已配置密码将仅显示为星号不会列出密码本身如果看不到星号表示还未设置密码 set password plain <yourpassword> restore password - 使用此命令设置定义的密码 - 此命令清除定义的密码 STATUS 显示有关 ESET File Security 当前保护状态的信息类似于 GUI 上下文路径 root 语法 [get] restore status set status disabled enabled 操作 get - 显示病毒防护状态 set - 禁用启用病毒防护 restore - 恢复默认设置自变量 disabled enabled - 禁用病毒防护 - 启用病毒防护示例 get status - 显示当前防护状态 set status disabled restore status - 禁用防护 - 恢复对默认设置的防护已启用 VIRLOG 这是 DETECTIONS 命令的别名当您需要查看有关检测到的渗透的信息时它会很有用 WARNLOG 这是 EVENTS 命令的别名当您需要查看有关各种事件的信息时它会很有用 7663 批处理文件脚本您可以将 eshell 用作强大的脚本工具以实现自动化若要将批处理文件与 eshell 结合使用请使用 eshell 创建一个批处理文件并在其中编写命令例如 eshell get antivirus status 您还可以连接命令有时候这是必要的例如如果您想要获取特定计划任务的类型则输入以下命令 eshell select scheduler task 4 "&" get scheduler action 选择项目在本例中为４号任务通常仅适用于当前正在运行的 eshell 实例如果您要依次运行这两个命令则第二个命令将会失败并显示未选择任务或选择的任务已不存在错误由于安全原因默认情况下执行策略将设置为受限脚本这允许您将 eshell 用作监视工具但不允许您对 ESET File Security 进行配置更改对于可以影响安全性的命令例如关闭防护您将收到访问被拒绝消息为了能够执行这些命令以进行配置更改我们建议您使用已签名的批处理文件 53

54 如果出于某些特定原因您需要能够通过使用在 Windows 命令提示中手动输入的单个命令来更改配置您必须授予 eshell 完全访问权限不建议若要授予完全访问权限请使用ui eshell shell-execution-policy 命令在 eshell 本身的交互模式下也可以通过高级设置 > 用户界面 > ESET Shell 中的 GUI 完成此操作已签名的批处理文件 eshell 允许您使用签名保护常用批处理文件 bat) 使用与用于设置保护的同一密码对脚本进行签名为了对脚本进行签名您需要先启用设置保护您可以通过 GUI 或者在 eshell 内使用set ui access lock-password 命令完成此操作当设置保护密码设置完成后您可以开始对批处理文件进行签名若要对批处理文件进行签名请运行sign <scriptbat> 在 eshell 的根上下文中其中 scriptbat 是您要进行签名的脚本的路径输入并确认将用于进行签名的密码此密码必须与设置保护密码相匹配签名以注释的形式置于批处理文件的末尾如果此脚本之前已进行过签名则使用新的签名替换该签名注意当您修改之前进行过签名的批处理文件时需要对该文件进行重新签名注意如果更改了设置保护密码则需要对所有脚本进行重新签名否则在您更改设置保护密码后将无法执行这些脚本这是因为在对脚本进行签名时输入的密码必须与目标系统上的设置保护密码相匹配若要在 Windows 命令提示下或作为计划任务执行已进行签名的批处理文件请使用以下命令 eshell run <scriptbat> 其中 scriptbat 是批处理文件的路径例如 eshell run d:\myeshellscriptbat 767 E S E T S y s Ins p e c to r ESET SysInspector 是一个可彻底检查计算机收集有关系统组件例如已安装的驱动程序和应用程序网络连接或重要注册表条目的详细信息以及评估每个组件风险级别的应用程序该信息有助于确定可能由于软硬件不兼容或恶意感染而导致出现可疑系统行为的原因 ESET SysInspector 窗口显示下列有关已创建的日志的信息时间 - 日志创建时间注释 - 简短注释用户 - 创建日志的用户的姓名状态 - 日志创建的状态可用操作包括打开 - 打开已创建的日志您还可以通过以下方式执行此操作右键单击已创建的日志然后从右键菜单中选择显示比较 - 比较两个现有日志创建 - 创建新日志在 ESET SysInspector 日志完成状态显示为已创建之前请稍候删除 - 删除列表中选定的日志右键单击一个或多个选定日志后可从右键菜单中使用以下选项显示 - 在 ESET SysInspector 中打开选定日志相当于双击日志比较 - 比较两个现有日志创建 - 创建新日志在 ESET SysInspector 日志完成状态显示为已创建之前请稍候删除 - 删除列表中选定的日志全部删除 - 删除所有日志导出 - 将日志导出为 xml 文件或压缩的 xml 54

7671 创建计算机状态快照输入要创建的日志的简短注释然后单击添加按钮在 ESET SysInspector 日志完成状态为已创建之前请稍候日志创建可能需要一些时间具体取决于您的硬件配置和系统数据 7672 E S E T S y s Ins p e c to r 76721 E S E T S y s Ins p e c to r 介绍 ESET

55 7671 创建计算机状态快照输入要创建的日志的简短注释然后单击添加按钮在 ESET SysInspector 日志完成状态为已创建之前请稍候日志创建可能需要一些时间具体取决于您的硬件配置和系统数据 7672 E S E T S y s Ins p e c to r E S E T S y s Ins p e c to r 介绍 ESET SysInspector 是彻底检查您的计算机并全面显示所收集数据的应用程序安装的驱动程序和应用程序网络连接或重要注册表项等信息有助于调查因软件或硬件不兼容或恶意软件感染引起的可疑系统行为有两种方式可用来访问 ESET SysInspector 从 ESET Security 解决方案中的集成版本或从 ESET 网站免费下载单机版本 SysInspectorexe) 两种版本的功能一致且有相同的程序控件唯一的区别是管理输出的方式不同无论独立的还是集成的版本都允许您将系统快照输出为 xml 文件并保存至磁盘但是集成的版本还允许您直接在工具 > ESET SysInspector 中存储系统快照 ESET Remote Administrator 除外 ESET SysInspector 扫描计算机时需要一些时间可能花费１秒到几分钟这决取于硬件配置操作系统和计算机上安装的应用程序数量启动 E S E T S y s Ins p e c to r 若要启动 ESET SysInspector 只需运行从 ESET 网站下载的 SysInspectorexe 可执行文件应用程序检查您的系统时可能需要几分钟请稍作等待用户界面和应用程序的使用为了方便使用主程序窗口被划分为四个主要部分主程序窗口顶端的程序控件左侧的导航窗口右侧的说明窗口以及位于主程序窗口底部的详细信息窗口日志状态部分列出了日志的基本参数过滤器使用过滤器类型以及日志是否为比较结果等 55

56 程序控件本部分包含 ESET SysInspector 中所有可用程序控件的说明文件单击文件即可存储当前的日志状态以供将来研究使用或者打开一个先前存储的日志对于发布用途我们建议生成适合发送的日志这种形式的日志会省略敏感信息当前用户名计算机名称域名当前用户权限环境变量等注意可以将先前存储的 ESET SysInspector 报告拖放至主程序窗口以将其打开目录允许您展开或关闭所有节点并将选定部分导出到服务脚本中列表包含使您能在程序内更方便地导航的功能以及诸如在线查找信息等各种其他功能帮助包含应用程序及其功能的相关信息详细信息此设置影响主程序窗口中显示的信息使信息更容易使用在基本模式下您可以访问查找系统常见问题解决方法所需的信息在中等模式下程序显示较少使用的详细信息在完整模式下 ESET SysInspector 显示解决非常具体问题所需的信息过滤项目过滤是查找系统中可疑文件或注册表项的最佳方式通过调整滑块您可以按风险级别来过滤项目如果将滑块设定到最左侧风险级别１则会显示所有项目而将滑块移至右侧程序将会滤除危险程度低于当前风险级别的所有项目只显示比显示级别更可疑的项目若将滑块移至最右侧程序将仅显示已知的有害项目所有标记为风险６至９的项目可能具有安全风险如果您未使用 ESET 的安全解决方案我们建议您在 ESET SysInspector 找到任何此类项目后使用 ESET Online Scanner 来扫描您的系统 ESET Online Scanner 是免费服务注意将项目颜色与风险级别滑块上的颜色进行比较可以迅速确定项目的风险级别比较比较两个日志时您可以选择显示所有项目仅显示已添加的项目仅显示已删除的项目或仅显示已替换的项目查找搜索用于通过项目名称或部分名称来快速查找特定项目搜索请求的结果将会显示在说明窗口中返回通过单击后退或前进箭头您可以在说明窗口中返回先前显示的信息您可以使用退格键和空格键来代替单击后退和前进状态部分显示导航窗口中的当前节点重要信息突出显示为红色的项目为未知项目这也正是程序将其标记为潜在危险项目的原因项目为红色并不一定就意味着您可以将文件删除删除前请确保文件确实是危险的或是不需要的 56

57 E S E T S y s Ins p e c to r 导航 ESET SysInspector 将各种类型的信息划分到一些称为节点的基本部分中如果可用您可以通过扩展各个节点到其子节点中来查找其他详细信息若要打开或折叠某节点双击节点的名称或单击或该节点名称旁边的当在导航窗口中浏览节点和子节点的树结构时您可能会在说明窗口中找到有关每个节点的各种详细信息如果在说明窗口中浏览项目有关每个项目的其他详细信息可能会显示在详细信息窗口中下面是导航窗口中主要节点的说明以及说明和详细信息窗口中的相关信息运行进程该节点包含生成日志时运行的应用程序和进程的相关信息在说明窗口中您可以找到有关每个进程的其他详细信息例如由进程使用的动态库及其在系统中的位置应用程序供应商的名称文件的风险级别详细信息窗口包含说明窗口中选定项目的其他信息例如文件大小或其 Hash 信息注意操作系统包含若干重要内核组件它们会持续运行并为其他用户应用程序提供基本和关键功能在某些情况下此类进程会显示在 ESET SysInspector 工具中文件路径以 \??\ 开头这些符号为这些进程提供预启动优化它们对系统是安全的网络连接说明窗口包含进程和应用程序的列表这些进程和应用程序使用在导航窗口中选择的协议 TCP 或 UDP 的网络以及应用程序连接到的远程地址进行通讯您还可以检查 DNS 服务器的 IP 地址详细信息窗口包含说明窗口中选定项目的其他信息例如文件大小或其 Hash 信息重要注册表项包含通常与各种系统问题相关的一系列选定注册表项例如指定启动程序浏览器帮助程序对象 BHO) 等的注册表项在说明窗口中可以找到哪些文件与特定注册表项相关您可以在详细信息窗口中查看其他详细信息服务说明窗口包含注册为 Windows Services 的文件列表在详细信息窗口中可以检查服务的启动设置方法以及文件的特定详细信息驱动程序系统中安装的驱动程序列表关键文件说明窗口显示与 Microsoft Windows 操作系统相关的关键文件的内容系统计划任务包含 Windows 计划任务在指定时间间隔触发的任务列表系统信息包含有关硬件和软件的详细信息以及有关设置环境变量用户权限和系统事件日志的信息文件详细信息重要系统文件和 Program Files 文件夹中文件的列表特定于文件的其他信息可以在说明和详细信息窗口中找到关于关于 ESET SysInspector 版本和程序模块列表的信息 57

58 使用 ESET SysInspector 时可用的快捷键有文件 Ctrl+O Ctrl+S 打开现有日志保存已创建的日志生成 Ctrl+G Ctrl+H 生成标准计算机状态快照生成计算机状态快照并记录日志敏感信息项目过滤 1, O 2 3 4, U 5 6 7, B Ctrl+9 Ctrl+0 良好显示风险级别为１９的项目良好显示风险级别为２９的项目良好显示风险级别为３９的项目未知显示风险级别为４９的项目未知显示风险级别为５９的项目未知显示风险级别为６９的项目危险显示风险级别为７９的项目危险显示风险级别为８９的项目危险显示风险级别为９的项目降低风险级别提高风险级别过滤模式相等或更高级别过滤模式仅相等级别查看 Ctrl+5 Ctrl+6 Ctrl+7 Ctrl+3 Ctrl+2 Ctrl+1 BackSpace 空格 Ctrl+W Ctrl+Q 按供应商查看所有供应商按供应商查看仅 Microsoft 按供应商查看所有其他供应商显示完整的详细信息显示中等详细信息基本显示后退一步前进一步扩展树折叠树其他控件 Ctrl+T Ctrl+P Ctrl+A Ctrl+C Ctrl+X Ctrl+B Ctrl+L Ctrl+R Ctrl+Z Ctrl+F Ctrl+D Ctrl+E 在搜索结果中选择后转至项目的原始位置显示项目的基本信息显示项目的完整信息复制当前项目的树复制项目在 Internet 上查找选定文件的相关信息打开选定文件所在的文件夹在注册表编辑器中打开相应注册表项复制文件路径如果该项目与文件相关切换至搜索字段关闭搜索结果运行服务脚本比较 Ctrl+Alt+O Ctrl+Alt+R Ctrl+Alt+1 58 打开原始比较日志取消比较显示所有项目

Ctrl+Alt+2 Ctrl+Alt+3 Ctrl+Alt+4 Ctrl+Alt+5 Ctrl+Alt+C Ctrl+Alt+N Ctrl+Alt+P 仅显示已添加的项目日志将显示当前日志中的项目仅显示已删除的项目日志将显示以前的日志中的项目仅显示已替换的项目含文件仅显示日志之间的差异显示比较显示当前日志打开以前的日志其他 F1 Alt+F4 Alt+Shift+F4

59 Ctrl+Alt+2 Ctrl+Alt+3 Ctrl+Alt+4 Ctrl+Alt+5 Ctrl+Alt+C Ctrl+Alt+N Ctrl+Alt+P 仅显示已添加的项目日志将显示当前日志中的项目仅显示已删除的项目日志将显示以前的日志中的项目仅显示已替换的项目含文件仅显示日志之间的差异显示比较显示当前日志打开以前的日志其他 F1 Alt+F4 Alt+Shift+F4 Ctrl+I 查看帮助关闭程序关闭程序而不询问日志统计信息比较比较功能允许用户比较两个现有日志该功能的输出结果是一组这两个日志并不共有的项目如果您想跟踪系统中的变化则这是比较合适的它是检测恶意代码的有用工具在启动之后应用程序会创建新日志并显示在新窗口中单击文件 > 保存日志将日志保存到文件稍后可打开并查看日志文件若要打开现有日志请单击文件 > 打开日志在主程序窗口中 ESET SysInspector 始终一次显示一个日志比较两个日志的好处是可以查看当前活跃日志和文件中保存的日志若要比较日志请单击文件 > 比较日志并选择选择文件将在主程序窗口中比较活动日志与选定日志比较日志将仅显示这两个日志之间的区别注意如果比较两个日志文件请单击文件 > 保存日志并将其另存为 ZIP 文件则会保存这两个文件如果稍后打开此类文件将自动比较包含的日志在显示项目的旁边 ESET SysInspector 将显示标识所比较日志之间的差别的标记所有标记的说明可显示在项目旁边以前日志中没有出现的新值包含新值的树结构部分仅在以前日志中出现的已删除的值包含已删除的值的树结构部分值文件已经更改包含已修改的值文件的树结构部分风险级别已经降低上一个日志中更高风险级别已经提高上一个日志中更低左下角显示的说明部分介绍了所有标记还显示了所比较的日志的名称任何比较日志都可以保存到文件并在稍后打开示例生成记录有关系统原始信息的日志并保存到名为 previousxml 的文件对系统进行更改之后打开 ESET SysInspector 并使其生成新日志将其保存到名为 currentxml 的文件为了跟踪这两个日志之间的更改请单击文件 > 比较日志该程序将创建比较日志显示日志之间的差别 59

60 如果使用以下命令行选项也可得到相同的结果 SysIsnpectorexe currentxml previousxml 命令行参数 ESET SysInspector 支持从命令行使用这些参数生成报告 /gen /privacy /zip /silent /blank 直接从命令行生成日志而无需运行 GUI 生成日志时忽略敏感信息以压缩的 zip 文件保存输出日志从命令行生成日志时不显示进度窗口启动 ESET SysInspector 而无需生成加载日志示例用法 Sysinspectorexe [loadxml] [/gen=savexml] [/privacy] [/zip] [comparetoxml] 若要将特定日志直接加载到浏览器中请使用 SysInspectorexe \clientlogxml 若要从命令行生成日志请使用 SysInspectorexe /gen=\mynewlogxml 若要直接在压缩文件中生成不包含敏感信息的日志请使用 SysInspectorexe /gen=\mynewlogzip /privacy /zip 若要比较两个日志文件并浏览不同之处请使用 SysInspectorexe newxml oldxml 注意如果文件文件夹的名称包含间隔则应放在引号内服务脚本服务脚本轻松移除系统中有害的对象帮助使用 ESET SysInspector 的客户服务脚本允许用户导出整个 ESET SysInspector 日志或其选定部分导出后您可以标记不需要的对象以便删除然后运行修改后的日志来删除标记的对象服务脚本适用于之前有过系统问题诊断经验的用户不符合资格的修改可能导致操作系统损坏示例如果您怀疑计算机受到未被病毒防护程序检测到的病毒感染请按下面的逐步说明执行操作运行 ESET SysInspector 来生成一个新的系统快照在左侧在树结构中部分中选择第一个项目按下 Shift 键并选择最后一个项目以标记所有项目右键单击选定对象选择导出选定部分到服务脚本选定的对象将被导出为新日志以下是整个过程中最关键的步骤打开新日志并将您想要删除的所有对象的属性更改为请确保您没有标记任何重要操作系统文件对象 6 打开 ESET SysInspector 单击文件 > 运行服务脚本并输入脚本路径 7 单击确定运行脚本生成服务脚本若要生成脚本请右键单击 ESET SysInspector 主窗口菜单树左侧窗口中的任何项目从右键菜单中选择导出所有部分到服务脚本或导出选定部分到服务脚本注意比较两个日志时不能导出服务脚本 60

61 服务脚本结构在脚本标题的第一行中可以找到关于引擎版本 ev) GUI 版本 gv) 和日志版本 lv) 的信息您可以使用此数据跟踪生成脚本的 xml 文件中的可能更改并防止执行期间出现任何不一致情况此部分脚本不应被更改文件的其余部分分为各节可以编辑其中的项目表示项目这些将由脚本处理通过将项目前的字符替换为字符标记要处理的项目脚本中的各节通过空行彼此分隔每一节都带有编号和标题 01) Running processes 运行进程本节包含系统中运行的所有进程列表每个进程由 UNC 路径进而由星号中的 CRC 16 哈希代码标识示例 01) Running processes: - \SystemRoot\System32\smssexe *4725* - C:\Windows\system32\svchostexe *FD08* + C:\Windows\system32\module32exe *CF8A* [] 在此示例中选择进程 module32exe 以符号标记执行脚本时进程将结束 02) Loaded modules 加载的模块本节列出当前使用的系统模块示例 02) Loaded modules: - c:\windows\system32\svchostexe - c:\windows\system32\kernel32dll + c:\windows\system32\khbekhbdll - c:\windows\system32\advapi32dll [] 在此示例中模块 khbekhbdll 由标记脚本运行时将使用该模块识别进程并结束它们 03) TCP connections TCP 连接本节包含现有 TCP 连接的信息示例 03) TCP connections: - Active connection: : > :55320, owner: ekrnexe - Active connection: : > :50006, - Active connection: : > :30606, owner: OUTLOOKEXE - Listening on *, port 135 (epmap), owner: svchostexe + Listening on *, port 2401, owner: fserviceexe Listening on *, port 445 (microsoft-ds), owner: System [] 脚本运行时将查找标记 TCP 连接中套接字的所有者并停止套接字以释放系统资源 04) UDP endpoints UDP 端点本节包含现有 UDP 端点的信息示例 04) UDP endpoints: , port 123 (ntp) , port , port 4500 (ipsec-msft) , port 500 (isakmp) [] 脚本运行时将隔离标记的 UDP 端点处套接字的所有者并停止套接字 61

62 05) DNS server entries DNS 服务器条目本节包含当前 DNS 服务器配置的信息示例 05) DNS server entries: [] 运行脚本时将删除标记的 DNS 服务器条目 06) Important registry entries 重要注册表项本节包含重要注册表项的信息示例 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmdexe - IgfxTray = C:\Windows\system32\igfxtrayexe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdateexe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = [] 脚本执行时标记项将被删除减小至字节或重置为默认值应用于特定项的操作取决于项类别和特定注册表中的键值 07) Services 服务本节列出系统中注册的服务示例 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrvexe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvcdll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\algexe, state: Stopped, startup: Manual [] 执行脚本时将停止并卸载标记的服务及其相关服务 08) Drivers 驱动程序本节列出安装的驱动程序示例 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpisys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32 \drivers\adihdaudsys, state: Running, startup: Manual [] 执行脚本时将停止选定的驱动程序注意有些驱动程序不允许停止 09) Critical files 关键文件本节包含对操作系统正常工作至关重要的文件的信息 62

63 示例 09) Critical files: * File: winini - [fonts] - [extensions] - [files] - MAPI=1 [] * File: systemini - [386Enh] - woafont=dosappfon - EGA80WOAFON=EGA80WOAFON [] * File: hosts localhost - ::1 localhost [] 选定的项目将被删除或重置为初始值执行服务脚本标记所有所需项目然后保存并关闭脚本通过选择文件菜单中的运行服务脚本选项直接从 ESET SysInspector 主窗口运行编辑的脚本打开脚本时程序将提示您以下消息确定要运行服务脚本 Scriptname % 吗确认您的选择后可能显示另一个警告通知您尝试运行的服务脚本尚未签名单击运行启动脚本对话窗口将确认脚本成功执行如果只能部分处理脚本将显示一个具有以下消息的对话窗口服务脚本部分运行是否要查看错误报告选择是查看列有未执行操作的复杂错误报告如果脚本未被识别将显示具有以下消息的对话窗口所选服务脚本未签名运行未签名和未知脚本可能严重危害您的计算机数据是否确定要运行该脚本并执行操作这可能是由脚本不一致引起的标题损坏节标题损坏节之间缺少空行等您可以重新打开脚本文件并纠正脚本内的错误或创建新的服务脚本常见问题解答运行 ESET SysInspector 是否需要管理员权限运行 ESET SysInspector 不需要管理员权限但收集到的某些信息只能通过管理员帐户访问以标准用户或受限制用户的身份运行它将导致其收集的有关运行环境的信息比较少 ESET SysInspector 是否创建日志文件 ESET SysInspector 可以创建计算机配置的日志文件要保存某个日志文件请从主程序窗口中单击文件 > 保存日志日志以 XML 格式保存默认情况下文件会保存到 %USERPROFILE%\My Documents\ 目录并使用 "SysInpsector-%COMPUTERNAME%-YYMMDD-HHMMXML" 文件命名约定如果需要可以在保存之前更改日志文件的位置和名称如何查看 ESET SysInspector 日志文件若要查看由 ESET SysInspector 创建的日志文件请运行该程序并从主程序窗口中单击文件 > 打开日志还可以将日志文件拖放到 ESET SysInspector 应用程序上如果需要频繁查看 ESET SysInspector 日志文件建议在桌面上创建 SYSINSPECTOREXE 文件的快捷方式然后可以将日志文件拖放到其中以供查看出于安全原因 Windows Vista/7 可能不允许在安全权限不同的窗口之间进行拖放规范是否可用于日志文件格式 SDK 如何目前日志文件规范或 SDK 均不可用因为程序仍在开发中程序发布之后我们可能会根据客户反馈和要求提供这些内容 ESET SysInspector 如何评估由特定对象产生的风险在大多数情况下 ESET SysInspector 使用一系列启发式规则检查每个对象的特性并评估恶意活动的可能性将风险级别指定给对象文件进程注册表项等基于这些启发式扫描会向对象指派风险级别级别从 1- 良 63

64 好绿色到 9 - 危险红色在左侧导航窗格中根据所包含对象的最高风险级别各部分有不同的颜色风险级别６未知红色是否表示对象存在危险 ESET SysInspector 的评估并不能保证对象是恶意的这应由安全专家来确定 ESET SysInspector 旨在为安全专家提供快速评估以使他们了解需要对系统上的哪些对象进行进一步检查确定其是否有不正常行为 ESET SysInspector 为什么在运行时连接到 Internet 与许多应用程序一样 ESET SysInspector 已签署数字签名证书可帮助确保该软件是 ESET 发布的并且未进行过更改为了验证证书操作系统会与证书授权机构通信来验证软件发行者的身份这是 Microsoft Windows 下通过数字签名的所有程序的正常行为什么是反隐藏技术防隐匿技术提供了有效的 Rootkit 检测如果系统受到行为类似 Rootkit 的恶意代码的攻击用户将面临数据丢失或被盗的风险如果没有专用的反 Rootkit 工具几乎不可能检测到 Rootkit 为什么有时标记为 Signed by MS 的文件同时具有不同的 Company Name 条目当尝试识别可执行文件的数字签名时 ESET SysInspector 首先查询文件中是否嵌入了数字签名如果发现数字签名将使用该信息验证文件如果未发现数字签名 ESI 则会开始查找包含已处理可执行文件的相关信息的对应 CAT 文件安全目录 %systemroot%\system32\catroot 如果找到相关的 CAT 文件在可执行文件的验证过程中将应用该 CAT 文件的数字签名这就是有时文件标记为 Signed by MS 但却具有不同 CompanyName 条目的原因 768 E S E T S y s R e s c ue Liv e ESET SysRescue Live 是一种实用程序使您能够创建包含一种 ESET Security 解决方案 ESET NOD32 Antivirus ESET Smart Security 或某些面向服务器的产品的可引导磁盘 ESET SysRescue Live 的主要优点是 ESET Security 解决方案独立于主机操作系统运行并具有直接访问磁盘和文件系统的权限凭借此功能您可以删除那些通常无法删除的渗透例如在操作系统运行时等 769 计划任务计划任务管理和启动具有预定义配置和属性的计划任务配置和属性包含日期和时间等信息以及执行任务期间使用的配置文件可从 ESET File Security 主程序窗口中单击工具 > 计划任务来访问计划任务计划任务包含所有计划任务和配置属性如预定义的日期时间和使用的扫描配置文件的列表计划任务用于计划以下任务病毒库更新扫描任务系统启动文件检查以及日志维护您可以直接从主计划任务窗口中添加或删除任务单击添加任务或删除在计划任务窗口中右键单击任意位置可执行以下操作显示详细信息立即执行任务添加新任务或删除现有任务使用每个条目开头的复选框来启用停用任务默认情况下计划任务中显示以下计划任务日志维护定期自动更新拨号连接后自动更新用户登录后自动更新自动启动文件检查用户登录后自动启动文件检查成功更新病毒库后自动开始首次扫描 64

要编辑现有计划任务包括默认的和用户定义的的配置请右键单击该任务然后单击编辑或选择要修改的任务然后单击编辑添加新任务 1 单击窗口底部的添加任务 2 输入任务的名称 3 从下拉菜单中选择所需任务运行外部应用程序 - 计划外部应用程序的执行日志维护 - 日志文件中仍会包含已删除记录的残余信息此任务定期优化日志文件中的记录以提高工作效率系统启动文件检查 -

65 要编辑现有计划任务包括默认的和用户定义的的配置请右键单击该任务然后单击编辑或选择要修改的任务然后单击编辑添加新任务 1 单击窗口底部的添加任务 2 输入任务的名称 3 从下拉菜单中选择所需任务运行外部应用程序 - 计划外部应用程序的执行日志维护 - 日志文件中仍会包含已删除记录的残余信息此任务定期优化日志文件中的记录以提高工作效率系统启动文件检查 - 检查在系统启动或登录时允许运行的文件创建计算机状态快照 - 创建 ESET SysInspector 计算机快照收集有关系统组件例如驱动程序应用程序的详细信息并评估每个组件的风险级别手动计算机扫描 - 执行计算机上文件和文件夹的计算机扫描首次扫描 - 默认情况下在安装完成或重新启动２分钟后将作为低优先级任务执行计算机扫描更新 - 通过更新病毒库和程序模块计划更新任务 4 如果要激活任务您可以在之后通过选中取消选中计划任务列表中的复选框来执行此操作请单击启用开关单击下一步并选择其中一个计时选项一次 - 任务将在预定义的日期和时间执行重复 - 任务将以指定的时间间隔执行每天 - 任务将在每天指定时间重复运行每周 - 任务将在选定的星期和时间运行由事件触发 - 任务将在发生指定事件时执行 5 在便携式计算机靠电池供电时选择靠电池供电时跳过任务以最大限度地减少使用系统资源将在任务执行字段中指定的日期和时间运行该任务如果任务无法在预定义的时间运行可以指定其再次执行时间在下一个计划时间尽快如果自上次运行时间之后经过的时间超过指定值则立即跳过任务可使用自上次运行时间之后经过 65

66 的时间滚动框来定义间隔右键单击某个任务并单击显示任务详细信息位于右键菜单中以查看有关该任务的信息 66

7610 提交样本以供分析使用样本提交对话框可将文件或站点发送到 ESET 以供分析该对话框可在工具 > 提交样本以供分析中找到如果您在计算机上发现了行为可疑的文件或在 Internet 上发现了可疑的站点可将其提交给 ESET 的病毒实验室以供分析如果文件被证实是一个恶意应用程序或网站则以后的更新中将增加对它的检测此外也可以通过电子邮件提交文件若要执行此操作

67 7610 提交样本以供分析使用样本提交对话框可将文件或站点发送到 ESET 以供分析该对话框可在工具 > 提交样本以供分析中找到如果您在计算机上发现了行为可疑的文件或在 Internet 上发现了可疑的站点可将其提交给 ESET 的病毒实验室以供分析如果文件被证实是一个恶意应用程序或网站则以后的更新中将增加对它的检测此外也可以通过电子邮件提交文件若要执行此操作请使用类似 WinRAR 或 WinZip 的程序压缩文件使用密码 infected 保护压缩文件并将其发送至请记住邮件主题一定要描述清楚邮件应包含尽可能多的有关此文件的信息比如下载此文件的网站名注意向 ESET 提交样本前确保其满足以下一个或多个标准未检测到文件或网站将文件或网站错误检测为威胁除非需要更多信息供分析否则您不会接收到回信从提交样本的理由下拉菜单选择最适合您的邮件的描述可疑文件可疑站点被任意恶意软件感染的网站误报文件检测为感染但并未感染的文件误报站点其他文件站点 - 您想要提交的文件或网站的路径联系人电子邮件 - 此联系人电子邮件随可疑文件一起发送给 ESET 如果需要更多信息以供分析可能会使用该电子邮件与您联系可选择是否输入联系人电子邮件除非需要更多信息否则您不会收到 ESET 的回信由于我们的服务器每天都会收到数以万计的文件因此不可能对所有提交一一回复 67

68 76101 可疑文件观察到的恶意软件感染迹象和症状 - 输入在您的计算机上观察到的可疑文件行为的描述文件来源 URL 地址或供应商 - 请输入文件出处来源并注明您是如何遇到该文件的注释和其他信息 - 您可以在这里输入有助于识别可疑文件过程的其他信息或描述注意第一个参数观察到的恶意软件感染迹象和症状必填但是提供其他信息将会很大程度地帮助我们实验室进行样本的识别过程可疑站点请从网站问题下拉菜单选择以下内容之一被感染 - 包含由各种方法分发的病毒或其他恶意软件的网站网络钓鱼 - 通常用于获取对敏感数据如银行帐号 PIN 码等的访问权限请阅读词汇表中更多关于此类攻击的信息欺诈 - 欺骗或欺诈性网站如果上述选项与您要提交的站点不符请选择其他注释和其他信息 - 您可以在这里输入有助于分析可疑网站的其他信息或描述误报文件我们请求您提交已检测为感染但却未感染的文件以帮助我们改进病毒和间谍软件防护引擎并为其他用户提供防护当文件模式匹配病毒库中包含的同一模式时可能会发生误报 FP) 应用程序名称和版本 - 程序标题及其版本例如编号别名或代码名称文件来源 URL 地址或供应商 - 请输入文件出处来源并注明您是如何遇到该文件的应用程序用途 - 一般应用程序描述应用程序类型例如浏览器媒体播放器及其功能注释和其他信息 - 您可以在这里添加有助于处理可疑文件的其他信息或描述注意这三个参数是必填的以识别合法应用程序并将它与恶意代码区分开来通过提供其他信息您将对我们实验室的识别过程和样本的处理提供极大帮助误报站点我们鼓励您提交已检测为感染欺诈或网络钓鱼但实际是误报的站点当文件模式匹配病毒库中包含的同一模式时可能会发生误报 FP) 请提供该网站以帮助我们改进病毒和网络钓鱼防护引擎并帮助为其他用户提供防护注释和其他信息 - 您可以在这里添加有助于处理可疑文件的其他信息或描述其他如果文件无法归类为可疑文件或误报请使用此表格提交文件的原因 - 请输入详细描述和发送文件的原因 68

69 7611 隔离区隔离区的主要功能是安全储存被感染文件隔离文件的前提是文件出现以下情况无法清除不安全或被建议删除或被 ESET File Security 错误检测您可以选择隔离任何文件如果文件行为可疑但未被病毒防护扫描程序检测到建议采取隔离措施可将隔离的文件提交到 ESET 病毒实验室进行分析可在表格中查看储存在隔离区文件夹中的文件表格中显示隔离的日期和时间被感染文件原始位置的路径文件大小字节数原因例如由用户添加的对象以及威胁数量例如是否为包含多个渗透的压缩文件等隔离文件 ESET File Security 自动隔离被删除的文件如果您尚未在警报窗口中禁用该选项如果需要您可以手动隔离任何可疑文件方法是单击隔离隔离的文件将从其初始位置删除也可使用右键菜单达到此目的在隔离区窗口中右键单击然后选择隔离从隔离区恢复隔离的文件还可以恢复到其初始位置可通过在隔离窗口中右键单击给定文件使用右键菜单中提供的恢复功能来执行此操作如果文件被标记为潜在的不受欢迎应用程序则恢复并且不扫描选项也将可用请阅读词汇表中有关此类应用程序的详细信息右键菜单还提供恢复至选项使用此选项可将文件恢复到其被删除时所在位置之外的其他位置注意如果程序错误地隔离了无害文件请在文件恢复后将其移出扫描队列并发送给 ESET 客户服务部门提交隔离区中的文件如果程序未检测到您隔离的可疑文件或文件被错误地确认为已受感染如启发式扫描代码分析所做的评估并且随后被隔离请将该文件发送到 ESET 病毒实验室要提交隔离区中的文件请右键单击该文件并从右键菜单中选择提交要分析的文件 69

70 77 帮助和支持 ESET File Security 包含故障排除工具和支持信息帮助您解决可能遇到的问题帮助搜索 ESET 知识库 - ESET 知识库包含对大多数常见问题的解答以及各种问题的建议解决方案知识库由 ESET 专业技术人员定期更新它已成为解决各类问题的最强大工具打开帮助 - 单击此链接以启动 ESET File Security 帮助页查找快速解决方案 - 选择此选项可找到大多数常见问题的解决方案建议您在联系技术支持之前阅读本节客户服务提交支持请求 - 如果您找不到问题的答案也可以使用位于 ESET 网站上的该表格快速联系我们的客户服务部门支持工具威胁百科全书 - ESET 威胁百科全书的链接包含有关不同类型渗透的危险和症状的信息病毒库历史记录 - ESET 病毒雷达的链接包含有关 ESET 病毒库版本的信息 ESET 专用清理器 - 此清理器可自动识别并清除常见的恶意软件感染有关详细信息请访问此 ESET 知识库文章产品和许可证信息关于 ESET File Security - 显示有关 ESET File Security 的副本的信息管理许可证 - 单击以启动产品激活窗口选择一种可用方法来激活ESET File Security 有关更多信息请参阅如何激活 ESET File Security 771 帮助主题本章介绍所有最常见的问题和难题单击主题标题了解如何解决您的难题如何更新 ESET File Security 如何激活 ESET File Security 如何计划扫描任务每２４小时如何从服务器中删除病毒自动排除的工作方式如果您的问题未包含在上面列出的帮助页面中请尝试通过描述问题的关键字或短语进行搜索以及在 ESET File Security 帮助页面中搜索如果在帮助页面中找不到难题问题的解决方案您可以尝试使用定期更新的在线知识库如有必要您可以直接联系我们的在线技术支持中心咨询您的问题或难题联系信息表格可在 ESET 程序的帮助和支持选项卡中找到 70

71 7711 如何更新 E S E T File S e c urity 可以通过手动或自动方式更新 ESET File Security 若要触发更新请单击更新病毒库您将在程序的更新部分中找到此按钮默认安装设置会创建每小时执行的自动更新任务如果您需要更改时间间隔请导航到计划任务有关计划任务的详细信息请单击此处 7712 如何激活 E S E T File S e c urity 完成安装后将提示您激活您的产品有几种激活产品的方法激活窗口中特定激活方案的可用性可能根据国家地区以及分发方式 CD/DVD ESET 网页等而不同要在程序中直接激活您的 ESET File Security 副本请单击系统托盘图标并从菜单中选择激活产品许可证您还可以在主菜单中的帮助与支持 > 激活许可证或保护状态 > 激活产品许可证下激活您的产品您可以使用以下任一方法来激活 ESET File Security 许可证密钥 - 遵循 XXXX-XXXX-XXXX-XXXX-XXXX 格式的唯一字符串用于标识许可证所有者和激活许可证安全管理员帐户 - 使用凭据电子邮件地址密码在 ESET 许可证管理员门户上创建的帐户此方法允许您在一个位置管理多个许可证脱机许可证文件将传输到 ESET 产品以提供许可证信息的自动生成的文件您的脱机许可证文件由许可证门户生成并在应用程序无法连接到许可证颁发机构的环境中使用如果您的计算机为托管网络的成员并且您的管理员将通过 ESET Remote Administrator 执行远程激活请单击稍后激活如果您想要以后再激活此客户端您也可以使用此选项在主程序窗口中单击帮助和支持 > 管理许可证以随时管理许可证信息您将看到 ESET 用来识别产品并用于许可标识的公共许可证 ID 您的用户名计算机在该用户名下注册许可证系统存储在关于部分中您可以通过右键单击系统托盘图标来查看它注意 ESET Remote Administrator 能够使用管理员提供的许可证静默激活客户端计算机 7713 如何在计划任务中创建新任务要在工具 > 计划任务中创建新任务请单击添加任务或右键单击并从右键菜单中选择添加提供５种类型的计划任务运行外部应用程序 - 计划外部应用程序的执行日志维护 - 日志文件中还会包含已删除记录的残余信息此任务定期优化日志文件中的记录以提高工作效率系统启动文件检查 - 检查在系统启动或登录时允许运行的文件创建计算机状态快照 - 创建 ESET SysInspector 计算机快照收集有关系统组件例如驱动程序应用程序的详细信息并评估每个组件的风险级别手动计算机扫描 - 执行计算机上文件和文件夹的计算机扫描首次扫描 - 默认情况下在安装完成或重新启动２分钟后将作为低优先级任务执行计算机扫描更新 - 通过更新病毒库和程序模块计划更新任务因为更新是最常用的计划任务之一所以下面我们将解释如何添加新的更新任务从计划任务下拉菜单中选择更新将任务名称输入任务名称字段并单击下一步选择任务执行频率提供以下选项一次重复每天每周和由事件触发在便携式计算机靠电池供电时选择靠电池供电时跳过任务以最大限度地减少使用系统资源将在任务执行字段中指定的日期和时间运行该任务然后定义无法在计划时间执行或完成任务时要采取的操作提供以下选项在下一个计划时间尽快如果自上次运行时间之后经过的时间超过指定值则立即跳过任务可使用自上次运行时间之后经过的时间滚动框来定义间隔 71

72 在下一步中显示有关当前计划任务信息的摘要窗口完成更改后单击完成将显示一个对话窗口允许您选择用于计划任务的配置文件您可以在此设置主要和替代配置文件如果任务不能用主要配置文件来完成则使用替代配置文件单击完成以进行确认新计划任务将添加到当前计划任务列表中 7714 如何计划扫描任务每２４小时若要计划定期任务请转到 ESET File Security > 工具 > 计划任务您可以在下面找到关于如何计划每２４小时扫描一次本地磁盘的任务的简要指南要计划扫描任务 1 单击主计划任务屏幕中的添加 2 从下拉菜单中选择手动计算机扫描 3 输入任务名称然后选择重复 4 选择每２４小时１４４分钟运行任务 5 选择计划任务执行因任何原因失败时将执行的操作 6 检查计划任务的摘要并单击完成 7 从目标下拉菜单中选择本地驱动器 8 单击完成以应用此任务 7715 如何从服务器中删除病毒如果您的计算机显示感染恶意软件的迹象例如速度变慢或常常停止响应我们建议您执行以下操作 1 从 ESET File Security 主窗口中单击计算机扫描 2 单击智能扫描以开始扫描系统 3 扫描完成后查看日志中扫描文件被感染文件和已清除文件的数量 4 如果您要仅扫描磁盘的特定部分请选择自定义扫描然后选择要进行病毒扫描的目标 772 提交支持请求为了尽可能快速准确地提供支持 ESET 需要有关 ESET File Security 配置的信息详细的系统信息以及关于正在运行的进程 ESET SysInspector 日志文件和注册表数据的信息 ESET 仅将此数据用于为客户提供技术帮助提交 Web 表单后您的系统配置数据将提交到 ESET 如果您希望对此进程记住此操作请选择始终提交此信息若要在不发送任何数据的情况下提交此表格请单击不提交数据然后可通过支持的在线表单来联系 ESET 客户服务部门也可以在高级设置 > 工具 > 诊断 > 客户服务中配置此设置注意如果您已决定提交系统数据则需要填写并提交 Web 表单否则将不会创建您的票证而且您的系统数据将会丢失 72

773 E S E T 专用清理器 ESET 专用清理器是用于常见恶意软件感染如 Conficker Sirefef 或 Necurs 的清除工具有关详细信息请访问此 ESET 知识库文章 774 关于 E S E T File S e c urity 此窗口提供已安装版本的 ESET File Security 的详细信息以及已安装程序模块的列表窗口顶部部分包含有关您

73 773 E S E T 专用清理器 ESET 专用清理器是用于常见恶意软件感染如 Conficker Sirefef 或 Necurs 的清除工具有关详细信息请访问此 ESET 知识库文章 774 关于 E S E T File S e c urity 此窗口提供已安装版本的 ESET File Security 的详细信息以及已安装程序模块的列表窗口顶部部分包含有关您的操作系统和系统资源的信息您可以单击复制将有关模块已安装组件的信息复制到剪贴板这在排除故障或联系技术支持时有用 775 产品激活完成安装后将提示您激活您的产品有几种激活产品的方法激活窗口中特定激活方案的可用性可能根据国家地区以及分发方式 CD/DVD ESET 网页等而不同要在程序中直接激活您的 ESET File Security 副本请单击系统托盘图标并从菜单中选择激活产品许可证您还可以在主菜单中的帮助与支持 > 激活许可证或保护状态 > 激活产品许可证下激活您的产品您可以使用以下任一方法来激活 ESET File Security 许可证密钥 - 遵循 XXXX-XXXX-XXXX-XXXX-XXXX 格式的唯一字符串用于标识许可证所有者和激活许可证安全管理员帐户 - 使用凭据电子邮件地址密码在 ESET 许可证管理员门户上创建的帐户此方法允许您在一个位置管理多个许可证脱机许可证文件将传输到 ESET 产品以提供许可证信息的自动生成的文件您的脱机许可证文件由许可证门户生成并在应用程序无法连接到许可证颁发机构的环境中使用 73

74 如果您的计算机为托管网络的成员并且您的管理员将通过 ESET Remote Administrator 执行远程激活请单击稍后激活如果您想要以后再激活此客户端您也可以使用此选项在主程序窗口中单击帮助和支持 > 管理许可证以随时管理许可证信息您将看到 ESET 用来识别产品并用于许可标识的公共许可证 ID 您的用户名计算机在该用户名下注册许可证系统存储在关于部分中您可以通过右键单击系统托盘图标来查看它注意 ESET Remote Administrator 能够使用管理员提供的许可证静默激活客户端计算机 7751 注册请通过填写包含在注册表中的字段并单击继续来注册您的许可括号中标记为必需的字段为必填字段此信息将仅用于与您的 ESET 许可证相关的事项 7752 安全管理员激活安全管理员帐户是使用您的电子邮件地址和密码在许可门户上创建的帐户它能够看到所有席位授权安全管理员帐户允许您管理多个许可证如果您没有安全管理员帐户请单击创建帐户您将重定向到 ESET License Administrator 网页您可在其中使用凭据进行注册如果您已忘记密码请单击忘记密码您将重定向到 ESET 业务门户输入您的电子邮件地址并单击提交以确认之后您将获得一封包含重置密码说明的邮件注意有关使用 ESET License Administrator 的详细信息请参阅 ESET License Administrator 用户指南 7753 激活失败未成功激活 ESET File Security 请确保您已输入正确的许可证密钥或已附加脱机许可证如果您还有其他的脱机许可证请再次输入若要检查输入的许可证密钥请单击重新检查许可证密钥或单击购买新的许可证然后会将您重定向到我们的网页您可以从中购买新的许可证 7754 许可证如果您选择安全管理员激活选项则将提示您选择与用于 ESET File Security 的帐户相关联的许可证单击激活以继续 7755 激活进度正在激活 ESET File Security 请耐心等待这可能需要几分钟 7756 成功激活激活成功 ESET File Security 现已激活从现在起 ESET File Security 将接收定期更新以识别最新威胁并保证您的计算机安全单击完成来完成产品激活 74

75 8 使用 ESET File Security 设置菜单包含以下部分服务器计算机工具要暂时禁用单个模块请单击要禁用的模块旁边的绿色开关注意这可能会降低对您的计算机的保护级别要重新启用已禁用的安全组件的防护请单击红色开关以使组件返回其启用状态要访问特定安全组件的详细设置请单击齿轮如果要设置更多详细选项请单击高级设置或按 F5 在设置窗口的底部还有其他选项若要使用 xml 配置文件加载设置参数或将当前设置参数保存为配置文件请使用导入导出设置有关更多详细信息请参阅导入导出设置 75

76 81 病毒防护病毒和间谍软件防护通过控制文件电子邮件和 Internet 通信防范恶意系统攻击如果检测到威胁则病毒防护模块可以通过先阻止然后清除删除或将其移至隔离区来消除威胁若要详细配置病毒防护模块设置请单击高级设置或按 F5 用于所有防护模块例如文件系统实时防护 Web 访问保护的扫描程序选项允许您启用或禁用对以下对象的检测潜在的不受欢迎应用程序 (PUA) 未必是恶意的但可能会对计算机性能造成不良影响请阅读词汇表中关于这些类型的应用程序的更多信息潜在的不安全应用程序是指有可能被滥用于恶意用途的合法商业软件潜在的不安全应用程序的示例包括远程访问工具密码破解应用程序以及按键记录器记录用户键盘输入信息的程序等此选项默认情况下处于禁用状态请阅读词汇表中关于这些类型的应用程序的更多信息潜在的可疑应用程序包括用加壳程序或保护程序压缩的程序这些类型的保护程序通常被恶意软件作者用来逃避检测反隐藏技术是一个复杂的系统它能够检测危险程序例如 rootkits 这些程序可在操作系统下隐藏自己这意味着使用普通测试技术很难检测到它们进程排除允许您排除特定进程例如备份解决方案的进程系统将忽略所有归于此类排除进程的文件操作并将其视为安全操作从而最大程度地减少对备份进程的干涉使用排除可将文件和文件夹排除在扫描之外要确保对所有对象进行威胁扫描我们建议您只在绝对有必要时才创建排除您需要排除某个对象的情况可能包括在扫描期间会使计算机速度变慢的大型数据库条目扫描或遇到与扫描冲突的软件若要从扫描中排除某个对象请参阅排除 811 检测到渗透威胁可通过各种渠道进入系统如网页共享文件夹电子邮件或可移动设备 USB 外部磁盘 CD DVD 软盘等标准行为作为 ESET File Security 处理威胁的常见示例可以使用以下功能检测渗透文件系统实时防护 Web 访问保护电子邮件客户端防护手动计算机扫描每个功能都使用标准清除级别并且将尝试清除文件并将其移动到隔离区或终止连接通知窗口显示在屏幕右下角的通知区域有关清除级别和行为的详细信息请参阅清除清除和删除如果文件系统实时防护没有预定义操作程序将显示一个警报窗口提示您从中选择一个选项一般会有清除删除和不操作等选项不建议选择不操作这样将不会清除被感染文件除非您确信该文件无害只是检测失误所致如果文件遭到了病毒攻击该病毒在被清除文件上附加了恶意代码请应用清除如果是这种情况请首先尝试清除被感染文件使其恢复到初始状态如果文件全部由恶意代码组成将删除该文件如果被感染文件被锁定或正在被系统进程使用通常只在释放后通常是系统重新启动后删除多个威胁如果在计算机扫描期间没有清除任何被感染文件或清除级别设置为不清除则会出现一个警报窗口提示您为这些文件选择相应操作在列表中为每个威胁分别选择一个操作也可以使用为所有列出的威胁选择操作 76

77 并选择一个要在列表中的所有威胁上采取的操作然后单击完成删除压缩文件中的文件在默认清除模式下仅当压缩文件只包含被感染文件而不包含干净文件时才会删除整个压缩文件换言之如果还包含无害的干净文件就不会删除压缩文件执行严格清除扫描时请小心启用严格清除时即使压缩文件只包含一个被感染文件无论压缩文件中其他文件的状态如何都将删除该压缩文件如果您的计算机有被恶意软件感染的迹象例如速度下降常常停止响应等建议您执行以下操作打开 ESET File Security 并单击计算机扫描单击智能扫描有关更多信息请参见计算机扫描扫描完成后查看日志中已扫描文件被感染文件和已清除文件的数量如果您只希望扫描磁盘的某一部分请单击自定义扫描然后选择要扫描的目标以查找病毒 812 进程排除此功能允许您将应用程序的进程排除在病毒防护访问扫描之外这些排除可帮助将潜在冲突的风险降至最低并提高已排除应用程序的性能进而对操作系统的整体性能产生积极影响当某个进程已排除时将不监视其可执行文件 ESET File Security 将不会监视已排除进程的活动并且不会针对该进程所执行的任何文件操作进行任何扫描使用添加编辑和移除来管理进程排除注意进程排除仅从病毒防护访问扫描中排除例如 Web 访问保护不会考虑此类排除因此即使您排除了 Web 浏览器的可执行文件下载的文件仍将进行扫描这样仍可以检测渗透此类情况仅作为示例我们并不建议为 Web 浏览器创建排除注意 HIPS 包含在已排除进程的评估中因此建议您在启用如果遇到问题也可以禁用 HIPS 的情况下测试最新排除的进程禁用 HIPS 将不会影响进程排除如果 HIPS 已禁用则只能基于路径识别已排除的进程 813 自动排除服务器应用程序和操作系统的开发人员建议对于其大多数产品可从病毒防护扫描中排除重要的工作文件和文件夹集合病毒防护扫描可能对服务器性能产生不良影响导致冲突甚至妨碍某些应用程序在服务器上的运行排除可帮助将潜在冲突的风险降至最低并在运行病毒防护软件时提高服务器的整体性能 ESET File Security 识别重要的服务器应用程序和服务器操作系统文件并自动将它们添加到排除列表您可以从创建排除的自动排除以生成下看到检测到的服务器应用程序的列表默认情况下启用所有的自动排除通过单击带有以下结果的开关您可以禁用启用每个服务器应用程序 1 如果应用程序操作系统排除保持为启用它的所有重要文件和文件夹都将添加到不予扫描的文件列表中高级设置 > > 基本 > 排除 > 编辑每次重新启动服务器时系统会执行排除的自动检查并还原可能已从列表删除的任何排除如果您希望确保始终应用建议的自动排除则这就是建议的设置 2 如果用户禁用应用程序操作系统排除其重要文件和文件夹将保留在不予扫描的文件列表中高级设置 > > 基本 > 排除 > 编辑然而每次重新启动服务器时它们不会被自动检查也不会在排除列表中续订请参见上述第１点我们为高级用户建议此设置这些用户希望删除或修改一些标准排除如果您希望从列表中删除排除而无需重新启动服务器您将需要从列表中手动删除它们高级设置 > > 基本 > 排除 > 编辑任何在高级设置 > > 基本 > 排除 > 编辑下手动输入的用户定义的排除将不受上述设置的影响 77

814 共享的本地缓存通过消除网络中的重复扫描共享的本地缓存将在虚拟环境中提高性能这可确保每个文件仅扫描一次并且存储在共享的缓存中打开缓存选项开关以将有关扫描网络上的文件和文件夹的信息保存到本地缓存如果您执行新扫描 ESET File Security 将搜索该缓存中的已扫描文件如果文件匹配将不对其进行扫描缓存服务器设置包含以下内容主机名 -

78 814 共享的本地缓存通过消除网络中的重复扫描共享的本地缓存将在虚拟环境中提高性能这可确保每个文件仅扫描一次并且存储在共享的缓存中打开缓存选项开关以将有关扫描网络上的文件和文件夹的信息保存到本地缓存如果您执行新扫描 ESET File Security 将搜索该缓存中的已扫描文件如果文件匹配将不对其进行扫描缓存服务器设置包含以下内容主机名 - 缓存所在的计算机的名称或 IP 地址端口 - 用于通信的端口号与在共享的本地缓存中设置的端口号相同密码 - 指定共享的本地缓存密码如果需要 815 性能您可以设置在同一时间内由病毒防护和间谍软件防护使用的独立 ThreatSense 扫描引擎数如果没有其他限制建议您根据以下公式增加 ThreatSense 扫描引擎的数量 ThreatSense 扫描引擎数物理 CPU 数 x 2) + 1 注意可接受的值在１２之间因此您最多可以使用２个 ThreatSense 扫描引擎 816 文件系统实时防护文件系统实时防护控制系统中所有与病毒防护相关的事件在计算机上打开创建或运行所有文件时都将扫描文件是否带有恶意代码文件系统实时防护在系统启动时启动默认情况下文件系统实时防护在系统启动时启动并提供不间断的扫描特殊情况下比如与其他实时扫描程序存在冲突可以通过在高级设置中取消文件系统实时防护 > 基本下的自动启动文件系统实时防护来禁用实时防护 78

79 要扫描的对象默认情况下所有类型的介质均可扫描以检查是否存在潜在威胁本地驱动器 - 控制所有系统硬盘可移动磁盘 - 控制 CD/DVD USB 存储和蓝牙设备等网络驱动器 - 扫描所有映射的驱动器建议您使用默认设置且仅在特殊情况例如当扫描某些介质使数据传输速度显著降低时下修改这些设置运行扫描于默认情况下所有文件都在打开创建或执行时进行扫描我们建议您保留这些默认设置因为它们可为计算机提供最高级别的实时防护打开文件 - 启用或禁用打开文件时的扫描创建文件 - 启用或禁用创建文件时的扫描执行文件 - 启用或禁用运行文件时的扫描可移动磁盘访问 - 启用或禁用访问具有存储空间的特定可移动磁盘触发的扫描关闭计算机 - 启用或禁用在计算机关闭时触发的扫描文件系统实时防护检查所有类型的介质并由各种系统事件例如访问文件触发通过使用 ThreatSense 技术检测方法如 ThreatSense 参数部分所述将文件系统实时防护配置为采用不同的方式对待新创建的文件和现有文件例如您可以将文件系统实时防护配置为更加密切地监视新创建的文件为确保在使用实时防护时占用最少的系统资源已扫描的文件不会重复扫描除非它们已修改在每次病毒库更新后立刻重新扫描文件可使用智能优化控制此行为如果已禁用智能优化则每次访问时将扫描所有文件若要修改此设置请按 F5 打开高级设置然后依次展开文件系统实时防护依次单击 ThreatSense 参数 > 其他然后选中或取消选中启用智能优化 8161 排除注意不要与排除的扩展名混淆使用排除可将文件和文件夹排除在扫描之外要确保对所有对象进行威胁扫描我们建议您只在绝对有必要时才创建排除您需要排除某个对象的情况可能包括在扫描期间会使计算机速度变慢的大型数据库条目扫描或遇到与扫描冲突的软件例如备份软件从扫描中排除对象的步骤单击添加并输入指向对象的路径或在树结构中选择它可使用通配符代表一组文件问号代表单个可变字符星号则代表包含零个或更多字符的可变字符串示例如果要排除文件夹中的所有文件则输入文件夹路径并使用掩码要排除包括所有文件和子文件夹在内的整个驱动器使用掩码 D:\* 如果仅需要排除 doc 文件则使用掩码 doc 如果可执行文件名有特定数量的字符且字符各异且您只知道第一个字符如 D 则使用以下格式 D???? exe 问号用于替代缺少未知的字符注意如果该文件满足不进行扫描的标准那么文件系统实时防护模块或计算机扫描模块就不会检测到该文件内的威胁列路径 - 被排除文件和文件夹的路径威胁 - 如果在已排除文件旁边显示威胁的名称则表示该文件仅对给定威胁排除如果该文件稍后被其他恶意软件感染将被病毒防护模块检测到此类型的排除仅可用于特定类型的渗透它既可以在报告渗透的威胁警报窗口中创建单击更多信息然后选择从检测中排除还可以通过依次单击工具 > 隔离然后右键单击隔离文件并从右键菜单中选择恢复并且不扫描来创建 79

80 控件元素添加 - 选择不予检测的对象编辑 - 使您能够编辑选定的条目删除 - 删除选定的条目添加或编辑排除在此对话窗口中可添加或编辑排除可通过两种方式来操作键入要排除对象的路径在树结构中进行选择在文本字段的末尾单击以进行浏览如果使用第一种方式可使用在排除格式部分介绍的通配符排除格式可使用通配符代表一组文件问号代表单个可变字符星号则代表包含零个或更多字符的可变字符串示例如果要排除文件夹中的所有文件则输入文件夹路径并使用掩码要排除包括所有文件和子文件夹在内的整个驱动器使用掩码 D:\* 如果仅需要排除 doc 文件则使用掩码 doc 如果可执行文件名有特定数量的字符且字符各异且您只知道第一个字符如 D 则使用以下格式 D???? exe 问号用于替代缺少未知的字符 8162 T hre a ts e ns e 参数 ThreatSense 技术包括许多复杂的威胁检测方法此技术具有某种主动性防护功能也就是说它可在新威胁开始传播的较早阶段提供防护该技术采用代码分析代码仿真一般的识别码病毒库的组合以显著提高系统安全性扫描引擎可同时控制多个数据流最大限度地提高效率和检测速度 ThreatSense 技术还可成功去除 Rootkit 注意有关自动启动文件检查的详细信息请参阅启动扫描 ThreatSense 引擎设置选项允许您指定若干扫描参数要扫描的文件类型和扩展名不同检测方法的组合清除级别等若要进入设置窗口请单击 ThreatSense 引擎参数设置它位于使用 ThreatSense 技术的任何模块的高级设置窗口中请参阅下文不同的安全情形可能要求不同的配置考虑到这一点可针对下列防护模块对 ThreatSense 进行单独配置文件系统实时防护空闲状态下扫描开机扫描文档防护电子邮件客户端防护 Web 访问保护计算机扫描 ThreatSense 参数已针对每个模块进行了高度优化对其进行修改可能会明显影响系统操作例如将参数更改为始终扫描加壳程序或在实时文件系统防护模块中启用高级启发式扫描可能会造成系统性能下降通常只有在扫描新建文件时才使用这些方法我们建议您保留所有模块计算机扫描除外的默认 ThreatSense 参数 80

81 要扫描的对象此部分使您可以定义要扫描的计算机组件和文件以查找渗透系统内存 - 扫描攻击系统的系统内存的威胁引导区 - 扫描引导区以检查 MBR 主引导记录中是否存在病毒如果运行的是 Hyper-V 虚拟机将以只读模式扫描其磁盘 MBR 电子邮件文件 - 该程序支持以下扩展名 DBX (Outlook Express) 和 EML 压缩文件 - 该程序支持以下扩展名 ARJ BZ2 CAB CHM DBX GZIP ISO/BIN/NRG LHA MIME NSIS RAR SIS TAR TNEF UUE WISE ZIP ACE 以及很多其他扩展名自解压文件 - 自解压文件 SFX) 是指不需要专门程序对自身进行解压的压缩文件加壳程序 - 执行后加壳程序在内存中解压这一点与标准压缩文件类型不同除了标准静态加壳程序 UPX yoda ASPack FSG 等扫描程序能够通过使用代码仿真来识别多种其他类型的加壳程序扫描选项选择在扫描系统中的渗透时所用的方法有以下选项可供使用启发式扫描 - 启发式扫描是一种分析恶意程序行为的算法此技术的主要优点是能够识别过去不存在或以前的病毒库无法识别的恶意软件缺点是可能发出虚假警报尽管可能性很小高级启发式扫描 DNA/智能病毒库 - 高级启发式扫描具有一种独特的启发式扫描算法该算法由 ESET 开发它使用高级编程语言编写而成用于优化检测计算机蠕虫和木马使用高级启发式扫描显著提高了 ESET 产品的威胁检测功能病毒库可以可靠地检测和识别病毒利用自动更新系统可以在发现威胁后的数小时内提供新病毒库该病毒库的缺点是只能检测到它所知道的病毒或在这些病毒基础上略做修改的版本清除清除设置决定在清除被感染文件的过程中扫描程序的行为共有３个清除级别不清除 - 不会自动清除被感染文件程序会显示一个警告窗口允许用户选择操作此级别专用于更高级的用户他们了解在渗透事件中应采取哪些步骤正常清除 - 程序将根据预定义操作取决于渗透类型尝试自动清除或删除被感染文件屏幕右下角的通知指示检测到或删除了被感染文件如果无法自动选择正确操作程序将提供其他后续操作如果预定义的操作无法完成也会出现相同的情况严格清除 - 程序将清除或删除所有被感染文件唯一例外的是系统文件如果无法清除文件系统将询问用户执行哪种操作警告如果压缩文件包含一个或多个被感染的文件有两种选择方式来处理该压缩文件在标准模式标准清除中如果压缩文件包含的文件全部被感染则会删除整个压缩文件在严格清除模式中即使压缩文件只包含一个被感染文件无论被压缩的其他文件是什么状态都将删除该压缩文件重要信息如果 Hyper-V 主机运行在 Windows Server 2008 R2 上正常清除和严格清除将不受支持将以只读模式扫描虚拟机磁盘不清除不论选择何种清除级别将始终以只读模式执行扫描排除扩展名是用句点分隔的文件名的一部分扩展名定义文件的类型和内容 ThreatSense 参数设置的此部分允许您定义不扫描的文件类型 81

82 其他配置 ThreatSense 引擎参数设置以进行手动计算机扫描时其他部分中的以下选项也可用扫描交换数据流 ADS) - NTFS 文件系统使用的交换数据流是对普通扫描技术不可见的文件和文件夹关联许多渗透试图通过伪装成交换数据流来避开检测以低优先级运行后台扫描 - 每个扫描序列都消耗一定量的系统资源如果您使用高系统资源负载的程序则可以激活低优先级后台扫描并为应用程序节约资源记录所有对象 - 如果选中此选项日志文件将显示包括未感染文件在内的所有已扫描文件例如如果压缩文件中发现渗透日志还将列出压缩文件中包含的干净文件启用智能优化 - 启用智能优化后使用最优化的设置可确保最高效的扫描级别同时可保持最高的扫描速度各种保护模块可进行智能化扫描使用不同的扫描方法并将它们应用到特定的文件类型如果禁用了智能优化则在执行扫描时仅应用特定模块的 ThreatSense 核心中用户定义的设置保存上一个访问时戳 - 选中此选项可以保留已扫描文件的最初访问时间而不是更新时间例如数据备份系统所使用的访问时戳限制限制部分允许您指定要扫描的对象的最大大小和嵌套压缩文件的层数对象设置默认对象设置最大对象大小 - 定义要扫描对象的最大大小给定的病毒防护模块将仅扫描小于指定大小的对象此选项应仅由具有从扫描中排除大型对象的特定原因的高级用户更改默认值无限制对象的最长扫描时间秒 - 定义用于对象扫描的最大时间值如果在此输入用户定义的值时间用完后病毒防护模块将停止扫描对象而不管扫描是否完成默认值无限制压缩文件扫描设置压缩文件嵌套层数 - 指定压缩文件扫描的最大深度默认值 10 压缩文件中文件的最大大小 - 此选项允许您指定要扫描的压缩文件当解压缩时中所包含文件的最大文件大小默认值无限制注意不建议更改默认值正常情况下应该没有修改它的理由不扫描的文件扩展名扩展名是用句点分隔的文件名的一部分扩展名定义文件的类型和内容 ThreatSense 参数设置的此部分允许您定义要扫描的文件类型默认情况下扫描所有文件可将任何扩展名添加到不扫描的文件列表中如果对某些文件类型的扫描导致使用特定扩展名的程序运行不正常将这些文件排除出扫描之列有时是必要的例如使用 Microsoft Exchange 服务器时建议排除 edb eml 和 tmp 扩展名使用添加和删除按钮可以允许或禁用对特定文件扩展名的扫描若要将新扩展名添加到列表请单击添加以将该扩展名键入到空白字段中然后单击确定当您选择输入多个值时您可以添加多个由行逗号或分号分隔的文件扩展名启用多项选择时扩展名将显示在列表中选择列表中的扩展名然后单击删除可从列表中删除该扩展名如果您希望编辑选定的扩展名请单击编辑可以使用特殊符号星号和问号星号表示任意字符串而问号表示任意符号 82

83 81622 其他 T hre a ts e ns e 参数用于新建文件和已修改文件的其他 ThreatSense 参数 - 新建或修改的文件受感染的可能性相对于现有文件更高这就是程序使用附加扫描参数检查这些文件的原因除了使用普通的基于病毒库的扫描方法外还使用高级启发式扫描它可在发布病毒库更新之前检测新威胁除了新建文件系统还扫描自解压文件 sfx) 和加壳程序内部压缩的可执行文件默认情况下对压缩文件的扫描可深达第１个嵌套层而且不论其实际大小都会进行检查若要修改压缩文件扫描设置请禁用默认的压缩文件扫描设置若要了解有关加壳程序自解压文件以及高级启发式扫描的详细信息请参阅 ThreatSense 引擎参数设置用于已执行文件的其他 ThreatSense 参数 - 默认情况下在执行文件时将使用高级启发式扫描启用后强烈建议您启用智能优化和 ESET LiveGrid 以降低对系统性能的影响清除级别实时防护具有三种清除级别要访问清除级别设置请单击文件系统实时防护部分中的 ThreatSense 参数然后单击清除不清除 - 不会自动清除被感染文件程序会显示一个警告窗口允许用户选择操作此级别专用于更高级的用户他们了解在渗透事件中应采取哪些步骤正常清除 - 程序将根据预定义操作取决于渗透类型尝试自动清除或删除被感染文件屏幕右下角的通知指示检测到或删除了被感染文件如果无法自动选择正确操作程序将提供其他后续操作如果预定义的操作无法完成也会出现相同的情况严格清除 - 程序将清除或删除所有被感染文件唯一例外的是系统文件如果无法清除文件系统将询问用户执行哪种操作警告如果压缩文件包含一个或多个被感染的文件有两种选择方式来处理该压缩文件在标准模式标准清除中如果压缩文件包含的文件全部被感染则会删除整个压缩文件在严格清除模式中即使压缩文件只包含一个被感染文件无论被压缩的其他文件是什么状态都将删除该压缩文件重要信息如果 Hyper-V 主机运行在 Windows Server 2008 R2 上正常清除和严格清除将不受支持将以只读模式扫描虚拟机磁盘不清除不论选择何种清除级别将始终以只读模式执行扫描何时修改实时防护配置文件系统实时防护是维护系统安全的最重要的组件修改其参数时请务必小心建议您仅在特定情况下修改其参数安装 ESET File Security 后所有设置都会得到优化以便为用户提供最高级别的系统安全性若要恢复默认设置请在窗口中单击每个选项卡旁边的高级设置 > > 文件系统实时防护检查实时防护要验证实时防护是否在运行以及是否在检测病毒请使用来自 eicarcom 的测试文件此测试文件是一个可供所有病毒防护程序检测的无害文件此文件由 EICAR 欧洲计算机防病毒研究协会公司创建用于测试病毒防护程序的功能此文件可从以下网站下载实时防护不工作时如何应对在本章中我们将介绍使用实时防护时可能出现的问题以及如何排除这些故障实时防护被禁用如果用户无意中禁用了实时防护则需要重新启用它要重新启用实时防护请导航至主程序窗口中的设置并单击文件系统实时防护如果实时防护未能在系统启动时启动通常是因为未选中自动启动文件系统实时防护要启用此选项请导航至高级设置 F5) 并在高级设置部分中依次单击计算机 > 文件系统实时防护 > 基本请确保自动启动文件系统实时防护已打开 83

84 如果实时防护功能不检测和清除渗透请确保您的计算机上没有安装其他病毒防护程序如果同时启用两种实时防护它们可能互相冲突建议您先卸载系统上的所有其他病毒防护程序再安装 ESET 实时防护不启动如果系统启动时实时防护未启动且自动启动实时文件系统防护已经启用可能是因为与其他程序发生冲突要获取帮助以解决此问题请联系 ESET 客户服务提交您可以选择文件和统计信息提交到 ESET 的方式选择通过远程管理员或直接提交给 ESET 选项将使用所有可用方式提交文件和统计信息选择通过远程管理员选项以将文件和统计信息提交至远程管理服务器然后将其提交至 ESET 威胁实验室如果选中直接提交给 ESET 所有可疑文件和统计信息会直接从程序发送给 ESET 病毒实验室当有文件等待提交时立即提交按钮将处于活动状态单击此按钮可立即提交文件和统计信息选中启用日志记录创建用于记录文件和统计信息提交的日志统计信息 ThreatSenseNet 早期预警系统将收集您的计算机中与新检测到的威胁相关的匿名信息该信息可能包括渗透名称检测的日期和时间 ESET 安全产品版本操作系统版本和位置设置等统计信息通常一天一次或两次发送给 ESET 服务器下面是提交的统计数据包示例 # # # # # # # # # utc_time= :21:28 country="slovakia" language="english" osver= NT engine=5417 components=2502 moduleid=0x4e4f4d41 filesize=28368 filename=c:\documents and Settings\Administrator\Local Settings\Temporary Internet Files\ContentIE5\C14J8 提交时间 - 可以定义统计信息的提交时间如果选择尽快提交统计信息会在创建后立即发送该设置适用于 Internet 连接永久可用的情况如果选择了更新期间统计信息将在下次更新期间集中提交可疑文件可疑文件选项卡可用于配置将威胁提交到 ESET 威胁实验室以供分析的方式如果发现可疑文件可以将其提交到我们的威胁实验室进行分析如果文件是一个恶意应用程序则下次病毒库更新中将添加对此程序的检测文件提交可以设置为自动发生或者如果希望知道已发送哪些文件供分析则选择提交前询问并确认提交如果不想提交任何文件请选择不提交文件进行分析选项选择不提交文件进行分析不会影响统计信息的提交后者在其自己的设置中配置请参见统计信息部分提交时间 - 默认情况下选择尽快选项以将可疑文件发送到 ESET 威胁实验室建议使用永久 Internet 连接这样可疑文件可及时发送不致延误选择更新期间选项以便将可疑文件在下次更新期间上载到 ThreatSenseNet 排除过滤器 - 排除过滤器允许您不提交某些文件文件夹例如将可能包含机密信息的文件如文档或电子表格排除在外可能很有用默认情况下最常见的文件类型均被排除 doc 等如果需要可以添加排除文件列表联系人电子邮件 - 联系人电子邮件[可选]可以与任何可疑文件一起发送而且可能用于在需要更多信息以供分析时联系您请注意除非需要更多信息否则 ESET 不会与您联系 84

85 817 手动计算机扫描和 H y p e r-v 扫描本部分提供用于选择扫描参数的选项注意此扫描配置文件选择器可应用于手动计算机扫描和 Hyper-V 扫描选定的配置文件 - 手动扫描程序使用的一组特定参数若要创建新配置文件请单击配置文件列表旁边的编辑如果仅希望扫描特定目标您可以单击扫描目标旁边的编辑然后从下拉菜单中选择某个选项或从文件夹树结构中选择特定目标扫描目标窗口允许您定义扫描哪些对象内存驱动器扇区文件和文件夹中的渗透从列有计算机上所有可用设备的树结构中选择目标扫描目标下拉菜单可使您选择预定义的扫描目标按配置文件设置 - 选择选定扫描配置文件中设置的目标可移动磁盘 - 选择磁盘 USB 存储设备和 CD/DVD 本地驱动器 - 选择所有系统硬盘网络驱动器 - 选择所有映射的网络驱动器共享文件夹 - 选择本地服务器上共享的所有文件夹不选择 - 取消所有选择单击 ThreatSense 参数以修改手动计算机扫描程序的扫描参数例如检测方法 8171 自定义扫描和 H y p e r-v 扫描启动程序如果只希望扫描特定目标您可以使用自定义扫描工具方法是依次单击计算机扫描 > 自定义扫描并从扫描目标下拉菜单中选择一个选项或者从文件夹树结构中选择特定目标注意此扫描目标选择器可应用于自定义扫描和 Hyper-V 扫描扫描目标窗口允许您定义扫描哪些对象内存驱动器扇区文件和文件夹中的渗透从列有计算机上所有可用设备的树结构中选择目标扫描目标下拉菜单可使您选择预定义的扫描目标按配置文件设置 - 选择选定扫描配置文件中设置的目标可移动磁盘 - 选择磁盘 USB 存储设备和 CD/DVD 本地驱动器 - 选择所有系统硬盘网络驱动器 - 选择所有映射的网络驱动器共享文件夹 - 选择本地服务器上共享的所有文件夹不选择 - 取消所有选择 85

要快速浏览至某个扫描目标或直接添加某个所需的目标文件夹或文件请在文件夹列表下的空白字段中输入它仅当树结构中没有选定任何目标且扫描目标菜单设置为不选择时才可执行此操作自定义扫描弹出窗口如果您仅想扫描系统而不进行附加的清除操作则选择扫描但不清除仅当想要获取是否存在受感染项的概要信息以及获取有关这些受感染项的详细信息如果有时非常有用此外还可以通过依次单击设置 >

86 要快速浏览至某个扫描目标或直接添加某个所需的目标文件夹或文件请在文件夹列表下的空白字段中输入它仅当树结构中没有选定任何目标且扫描目标菜单设置为不选择时才可执行此操作自定义扫描弹出窗口如果您仅想扫描系统而不进行附加的清除操作则选择扫描但不清除仅当想要获取是否存在受感染项的概要信息以及获取有关这些受感染项的详细信息如果有时非常有用此外还可以通过依次单击设置 > ThreatSense 参数 > 清除从三个清除级别中进行选择扫描信息保存至扫描日志选择忽略排除后您能够执行一个扫描同时忽略已应用的排除 Hyper-V 扫描弹出窗口有关详细信息请参阅 Hyper-V 扫描可以从扫描配置文件下拉菜单中选择要用于扫描选定目标的配置文件默认的配置文件为智能扫描另外还有两个预定义的扫描配置文件称为全面扫描和右键菜单扫描这些扫描配置文件使用不同的 ThreatSense 引 86

擎参数单击设置从扫描配置文件菜单中详细设置选定的扫描配置文件可用的选项在 ThreatSense 引擎参数设置的其他部分下进行了介绍单击保存 - 保存对目标选择所做的更改包括在文件夹树结构中所做的选择单击扫描以使用已设置的自定义参数执行扫描作为管理员扫描使您能够使用管理员帐户执行扫描

87 擎参数单击设置从扫描配置文件菜单中详细设置选定的扫描配置文件可用的选项在 ThreatSense 引擎参数设置的其他部分下进行了介绍单击保存 - 保存对目标选择所做的更改包括在文件夹树结构中所做的选择单击扫描以使用已设置的自定义参数执行扫描作为管理员扫描使您能够使用管理员帐户执行扫描如果当前用户无权访问要扫描的适当文件则单击此选项请注意如果当前用户无法以管理员身份调用 UAC 操作则此按钮不可用 8172 扫描进度扫描进度窗口显示扫描的当前状态以及有关已找到的包含恶意代码的文件数量的信息注意某些文件比如受密码保护的文件或仅由系统使用的文件通常为 pagefilesys 和某些日志文件无法扫描很正常 87

88 扫描进度 - 进度条显示已扫描对象相对于待扫描对象的状态扫描进度状态根据扫描对象总数得出目标 - 当前扫描的对象及其位置的名称已找到的威胁 - 显示在扫描过程中已找到的威胁总数暂停 - 暂停扫描继续 - 当扫描进度暂停时显示此选项单击继续可继续扫描停止 - 终止扫描滚动扫描日志 - 如果启用扫描日志将随着新条目的添加自动向下滚动以便显示出最新的条目在扫描过程中您可以单击更多信息查看详细信息例如从 GUI 执行扫描过程的用户已扫描的对象数和扫描持续时间 88

8173 扫描日志扫描日志窗口显示扫描的当前状态以及有关已找到的包含恶意代码的文件数量的信息在每一部分中显示的信息都可以复制到剪贴板键盘快捷方式为 Ctrl+C 方法是选择条目并单击复制 Ctrl 和 Shift 键可用于选择多个条目单击开关图标过滤以打开日志过滤窗口您可以在该窗口中定义过滤条件通过右键单击特定记录可以显示右键菜单右键菜单提供以下选项过滤相同的记录 -

89 8173 扫描日志扫描日志窗口显示扫描的当前状态以及有关已找到的包含恶意代码的文件数量的信息在每一部分中显示的信息都可以复制到剪贴板键盘快捷方式为 Ctrl+C 方法是选择条目并单击复制 Ctrl 和 Shift 键可用于选择多个条目单击开关图标过滤以打开日志过滤窗口您可以在该窗口中定义过滤条件通过右键单击特定记录可以显示右键菜单右键菜单提供以下选项过滤相同的记录 - 这将激活日志过滤并且仅显示与所选记录类型相同的记录过滤 - 在单击此选项后日志过滤窗口将允许您为特定日志条目定义过滤条件启用过滤器 - 激活过滤器设置首次过滤日志时必须定义过滤条件过滤器一经设置在对其编辑前将保持不变禁用过滤器 - 禁用过滤器相当于单击底部的开关此选项仅在启用过滤后才可用复制 - 将选定的突出显示的记录的信息复制到剪贴板全部复制 - 复制窗口中所有记录的信息导出 - 将选定的突出显示的记录的信息导出到 XML 文件中全部导出 - 将窗口中的所有信息导出到 XML 文件查找 - 打开在日志中查找窗口并允许您定义搜索条件处理过滤出的内容作为缩小结果的其他方法查找下一个 - 查找之前定义的搜索如上所述的下一个匹配项查找上一个 - 查找之前定义的搜索如上所述的上一个匹配项 89

90 8174 配置文件管理器配置文件管理器用在 ESET File Security 中的两个地方在手动计算机扫描部分和更新部分中手动计算机扫描可以保存您的首选扫描参数以用于将来的扫描建议您为每次定期扫描创建不同的配置文件带有各种扫描目标扫描方法和其他参数若要创建新配置文件请打开高级设置窗口 F5) 然后依次单击手动计算机扫描再单击配置文件列表旁边的编辑列出现有扫描配置文件的选定的配置文件下拉列表为了帮助您创建满足需求的扫描配置文件请参阅 ThreatSense 引擎参数设置部分查看扫描设置中每个参数的描述示例假设您想要创建自己的扫描配置文件而且智能扫描配置部分适用但您不希望扫描加壳程序或潜在的不安全应用程序并且还希望应用严格清除在配置文件管理器窗口中输入新配置文件的名称并单击添加从选定的配置文件下拉菜单选择新的配置文件并调整剩余参数以满足要求单击确定以保存新配置文件更新更新设置部分中的配置文件编辑器允许用户创建新的更新配置文件请只在计算机使用多种方式连接更新服务器时创建和使用您自己的自定义配置文件不是默认的我的配置文件例如一台笔记本电脑通常连接的是本地网络中的本地服务器镜像但在断开与本地网络的连接时比如出于商务旅行的需要可能会使用两个配置文件直接从 ESET 的更新服务器下载更新第一个配置文件用于连接到本地服务器另一个配置文件用于连接到 ESET 服务器配置完这些配置文件后浏览到工具 > 计划任务编辑更新任务参数将其中一个配置文件指定为主配置文件另一个为次配置文件选定的配置文件 - 当前使用的更新配置文件要更改它请从下拉菜单中选择一个配置文件配置文件列表 - 新建或编辑更新配置文件 8175 扫描目标扫描目标窗口允许您定义扫描哪些对象内存驱动器扇区文件和文件夹中的渗透从列有计算机上所有可用设备的树结构中选择目标扫描目标下拉菜单可使您选择预定义的扫描目标按配置文件设置 - 选择选定扫描配置文件中设置的目标可移动磁盘 - 选择磁盘 USB 存储设备和 CD/DVD 本地驱动器 - 选择所有系统硬盘网络驱动器 - 选择所有映射的网络驱动器共享文件夹 - 选择本地服务器上共享的所有文件夹不选择 - 取消所有选择 8176 暂停计划扫描可以推迟计划扫描如果要推迟计算机扫描请为停止计划扫描分钟选项设置值 818 空闲状态下扫描您可以在高级设置位于空闲状态下扫描 > 基本下中启用空闲状态扫描程序将启用空闲状态扫描旁边的开关设置为开以启用此功能当计算机处于空闲状态时会在所有本地驱动器上执行静默的计算机扫描默认情况下当计算机笔记本电脑使用电池运行时不会运行空闲状态扫描程序您可以通过选中高级设置中计算机使用蓄电池供电时仍然运行扫描旁边的复选框来覆盖此设置打开高级设置中的启用日志记录开关以记录日志文件部分内的计算机扫描输出从主程序窗口依次单击工具 > 日志文件并从日志下拉菜单中选择计算机扫描当您的计算机处于以下状态时将运行空闲状态检测关闭屏幕或屏幕保护程序计算机锁定用户注销 90

91 单击 ThreatSense 参数以修改空闲状态扫描程序的扫描参数例如检测方法 819 开机扫描在默认情况下自动启动文件检查将在系统启动和病毒库更新时执行此扫描由计划任务配置和任务控制启动扫描选项是系统启动文件检查计划任务的一部分要修改启动扫描设置导航至工具>计划任务单击自动启动文件检查然后单击编辑在最后一步中自动启动文件检查窗口将显示参见下一章了解更多详细信息有关计划任务创建和管理的详细说明请参见创建新任务 8191 自动启动文件检查在创建系统启动文件检查计划任务时您可以使用几个选项来调整以下参数扫描级别下拉菜单指定系统启动时运行的文件扫描深度文件按照以下标准以升序排列仅最常用文件扫描文件最少常用文件共用文件很少使用的文件所有注册文件扫描文件最多还包括两个特定扫描级别组用户登录前运行的文件 - 包含未经用户登录即可访问的位置的文件包括几乎所有启动位置如服务浏览器帮助对象 winlogon 通知 Windows 计划任务条目已知 dll 等用户登录后运行的文件 - 包含仅在用户登录后才可访问的位置的文件包括仅由特定用户运行的文件通常是 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中的文件上述每个组的要扫描文件列表是固定的扫描优先级 - 用于确定何时开始扫描的优先级别正常 - 平均系统负载较低 - 低系统负载最低 - 系统负载最低空闲时 - 仅在系统空闲时执行任务 8110 可移动磁盘 ESET File Security 提供自动可移动磁盘 CD/DVD/USB) 扫描此模块允许您扫描插入的媒体如果计算机管理员希望防止用户使用带有不请自来内容的可移动磁盘此模块将很有用插入可移动磁盘后要采取的操作 - 选择将可移动磁盘插入到计算机 CD/DVD/USB) 时将执行的默认操作如果选择了显示扫描选项将显示通知允许您选择所需操作不扫描 - 将不执行任何操作同时将关闭检测到新设备窗口自动设备扫描 - 将执行已插入可移动磁盘设备的手动计算机扫描显示扫描选项 - 打开可移动磁盘设置部分插入可移动磁盘后将显示以下对话框立即扫描 - 这将触发对可移动磁盘的扫描稍后扫描 - 将推迟对可移动磁盘的扫描设置 - 打开高级设置始终使用选择的选项 - 选中后在其他时间插入可移动磁盘时将执行相同的操作此外 ESET File Security 具有设备控制功能允许您为给定计算机上的外部设备使用定义规则在设备控制部分可找到设备控制的更多详细信息 91

92 8111 文档防护文档防护功能会在打开 Microsoft Office 文档之前对其进行扫描还会扫描通过 Internet Explorer 自动下载的文件如 Microsoft ActiveX 元素文档防护提供文件系统实时防护之外的另一层防护可以将其禁用以加强没有运行大容量 Microsoft Office 文档时的系统性能集成到系统将启动防护系统若要修改此选项请按 F5 打开高级设置窗口然后在高级设置树中依次单击 > 文档防护请参阅 Threatsense 参数以获取有关文档防护设置的详细信息此功能由使用 Microsoft Antivirus API 的应用程序例如 Microsoft Office 2000 和更高版本或 Microsoft Internet Explorer 50 和更高版本激活 8112 H IP S 对 HIPS 设置的更改仅应由有经验的用户进行 HIPS 设置的错误配置可能会导致系统不稳定基于主机的入侵防御系统 (HIPS) 可保护您的系统以免恶意软件和任何不受欢迎的活动试图对您的计算机产生不利影响 HIPS 利用高级行为分析并配合网络过滤的检测功能来监视正在运行的进程文件和注册表项 HIPS 独立于文件系统实时防护并且不是防火墙它仅监视在操作系统中运行的进程可以在以下位置找到 HIPS 设置高级设置 (F5) > > HIPS HIPS 状态启用禁用显示在 ESET File Security 主程序窗口的设置窗格中位于计算机部分的右侧 ESET File Security 具有内置的自我保护技术可防止恶意软件损坏或禁用病毒和间谍软件防护这样您可以确保系统随时受到保护对启用 HIPS 和启用 SD (自我保护设置的更改在 Windows 操作系统重新启动后生效禁用整个 HIPS 系统也将需要计算机重新启动高级内存扫描程序与漏洞利用阻止程序结合使用以增强对恶意软件的防范恶意软件旨在通过迷惑或加密方法来逃过反恶意软件产品的检测默认情况下启用高级内存扫描程序请阅读词汇表中关于此类防护的更多信息漏洞利用阻止程序旨在强化那些经常被漏洞利用的应用程序类型例如 Web 浏览器 PDF 阅读器电子邮件客户端和 MS Office 组件默认情况下启用漏洞利用阻止程序请阅读词汇表中关于此类防护的更多信息可以使用以下四种模式之一执行过滤自动模式 - 启用操作除了保护系统的预定义规则所阻止的操作智能模式 - 仅通知用户极为可疑的事件交互模式 - 将提示用户确认操作基于策略的模式 - 操作被阻止学习模式 - 启用操作并在每次操作后创建规则可在规则编辑器中查看以此模式创建的规则但其优先级低于手动创建的规则或在自动模式下创建的规则的优先级当您从 HIPS 过滤模式下拉菜单中选择学习模式后学习模式结束时间设置将变为可用选择您想要执行的学习模式的持续时间最长为１４天当指定的持续时间过去后将会提示您编辑 HIPS 在学习模式下所创建的规则还可以选择其他过滤模式或推迟决定并继续使用学习模式 HIPS 系统监控操作系统内的事件并根据类似于个人防火墙使用的规则相应地对事件作出反应单击编辑以打开 HIPS 规则管理窗口在此您可以选择创建编辑或删除规则编辑规则一章可以找到关于规则创建和 HIPS 操作的更多详细信息如果规则的默认操作设置为询问每次触发该规则时将显示对话窗口您可以选择阻止或允许该操作如果在给定时间不选择操作将基于规则选择新操作此对话窗口使您能够基于 HIPS 检测到的任何新操作来创建规则然后定义允许或阻止此操作的条件单击显示选项可访问具体参数的设置用这种方式创建的规则相当于手动创建的规则所以从对话窗口创建的规则可以比触发该对话窗口的规则更笼统这意味着在创建这样的规则后相同的操作可以触发相同的窗口暂时对此进程记住此操作将使系统在规则或过滤模式发生更改 HIPS 模块更新或系统重启之前始终使用此操作允许阻止发生这三项操作中的任意一项后将删除临时规则 92

93 81121 H IP S 规则此窗口向您提供了现有 HIPS 规则的概览列规则 - 用户定义的或自动选择的规则名称已启用 - 如果要将规则保留在列表中但不想使用可停用此开关操作 - 该规则指定条件正确的情况下应执行的一项操作允许阻止或询问源 - 仅当事件被应用程序触发时才使用该规则目标 - 仅当操作与特定文件应用程序或注册表项相关时才使用该规则日志 - 如果启用此选项有关此规则的信息将写入到 HIPS 日志中通知 - 如果事件被触发在右下角将显示一个小的弹出窗口控件元素添加 - 创建一个新规则编辑 - 使您能够编辑选定的条目删除 - 删除选定的条目 H IP S 规则设置规则名称 - 用户定义的或自动选择的规则名称操作 - 该规则指定条件正确的情况下应执行的一项操作允许阻止或询问操作影响 - 您必须选择将要应用该规则的操作的类型该规则将仅用于此类型的操作和选定的目标文件 - 仅当操作与此目标相关时才使用该规则从下拉菜单中选择特定文件并单击添加以添加新文件或文件夹或者可以从下拉菜单中选择所有文件以添加所有应用程序应用程序 - 仅当事件被此应用程序触发时才使用该规则从下拉菜单中选择特定应用程序并单击添加以添加新文件或文件夹或者可以从下拉菜单中选择所有应用程序以添加所有应用程序注册表条目 - 仅当操作与此目标相关时才使用该规则从下拉菜单中选择特定条目并单击添加以添加新文件或文件夹或者可以从下拉菜单中选择所有条目以添加所有应用程序已启用 - 如果要将规则保留在列表中但不想使用可停用此开关日志 - 如果启用此选项有关此规则的信息将写入到 HIPS 日志中通知用户 - 如果事件被触发在右下角将显示一个小的弹出窗口该规则包含以下部分它们描述了触发此规则的条件源应用程序 - 仅当此应用程序触发事件时才会使用该规则从下拉菜单中选择特定应用程序然后单击添加以添加新文件或文件夹或者可以从下拉菜单中选择所有应用程序以添加所有应用程序文件 - 仅当操作与此目标相关时才使用该规则从下拉菜单中选择特定文件并单击添加以添加新文件或文件夹或者可以从下拉菜单中选择所有文件以添加所有应用程序应用程序 - 仅当操作与此目标相关时才使用该规则从下拉菜单中选择特定应用程序并单击添加以添加新文件或文件夹或者可以从下拉菜单中选择所有应用程序以添加所有应用程序注册表条目 - 仅当操作与此目标相关时才使用该规则从下拉菜单中选择特定条目并单击添加以添加新文件或文件夹或者可以从下拉菜单中选择所有条目以添加所有应用程序重要操作的说明文件操作删除文件 - 应用程序要求获得删除目标文件的权限写入到文件 - 应用程序要求写入目标文件的权限直接访问磁盘 - 应用程序尝试以绕过常见 Windows 过程的非标准方式读取或写入磁盘这可能导致修改文件而不应用相应规则尝试回避检测的恶意软件尝试精确复制磁盘的备份软件或者尝试重新组织磁盘卷的分区管理器都可能导致此操作安装全局挂钩 - 指从 MSDN 库调用 SetWindowsHookEx 功能加载驱动程序 - 在系统上安装和加载驱动程序 93

94 应用程序操作调试其他应用程序 - 将调试程序附加到进程调试应用程序时可以查看和修改其行为的许多详细信息并访问其数据拦截其他应用程序的事件 - 源应用程序尝试捕获针对特定应用程序的事件例如尝试捕获浏览器事件的按键记录程序终止暂停其他应用程序 - 暂停恢复或中止进程可以直接从进程浏览器或进程窗格访问启动新应用程序 - 启动新应用程序或进程修改其他应用程序的状态 - 源应用程序尝试写入目标应用程序内容或运行自己的代码在阻止此操作使用的规则中将其配置为目标应用程序从而保护重要应用程序时此功能可能很有用注册表操作修改启动设置 - 定义应用程序在 Windows 启动时如何运行的设置的任何更改例如可通过在 Windows 注册表中搜索 Run 键来找到这些信息从注册表删除 - 删除注册表项或其值重命名注册表项 - 重命名注册表项修改注册表 - 创建注册表项的新值更改现有值在数据库树中移动数据或设置用户或组对注册表项的权限注意在输入目标时可以使用带有某些限制的通配符注册表路径中可以使用星号符号代替特定项例如 HKEY_USERS\*\software 可以表示 HKEY_USER\default\software 但不可以表示 HKEY_USERS\S \default\software HKEY_LOCAL_MACHINE\system\ControlSet* 不是有效的注册表项路径包含 \* 的注册表项路径定义此路径或在该符号后的任意级别的任意路径这是为文件目标使用通配符的唯一方式首先将评估路径的特定部分然后是通配符符号后的路径如果创建了太笼统的规则将会显示关于此类规则的警告高级设置以下选项用于调试和分析应用程序的行为始终允许加载驱动程序 - 始终允许加载选定的驱动程序而不管配置的过滤模式是什么除非明确地通过用户规则阻止记录所有阻止的操作 - 所有阻止的操作将写入到 HIPS 日志中当启动应用程序发生更改时发送通知 - 每次应用程序添加到系统启动或从中删除时显示桌面通知有关此帮助页的更新版本请参阅我们的知识库文章始终允许加载驱动程序始终允许加载此列表中显示的驱动程序而不管 HIPS 过滤模式是什么除非明确地通过用户规则阻止添加 - 添加新驱动程序编辑 - 编辑选定驱动程序的路径删除 - 从列表中删除驱动程序重置 - 重新加载一组系统驱动程序注意如果您不希望包含已手动添加的驱动程序请单击重置如果您已添加多个驱动程序并且无法手动将它们从列表中删除这将会很有用 94

95 82 更新在更新 > 常规下的高级设置树 F5) 中提供了更新设置选项此部分指定更新源信息例如正在使用的更新服务器和这些服务器的验证信息常规当前使用的更新配置文件显示在选定的配置文件下拉菜单中若要创建新配置文件请单击配置文件列表旁边的编辑输入您自己的配置文件名称然后单击添加如果更新出现了问题请单击清除以清除临时更新缓存过期病毒库警报自动设置病毒库最长保留时长 - 允许设置最长保留时长以天为单位在此之后病毒库将报告为已过期默认值为７回滚如果您怀疑病毒库和或程序模块的新更新不稳定或损坏可以回滚至以前版本并禁用设定时期内的更新此外您可以启用先前禁用的更新如果曾将其无限期推迟 ESET File Security 记录病毒库和程序模块的快照以用于回滚功能要创建病毒库快照请保持创建更新文件快照开关处于启用状态本地存储的快照数量字段定义了存储的先前病毒库快照的数量如果您单击回滚高级设置 (F5) > 更新 > 常规则必须从下拉菜单中选择时间间隔该间隔表示将暂停病毒库和程序模块更新的时段为使更新正常下载必须正确填写所有更新参数如果使用防火墙请确保您的 ESET 程序能与 Internet 通信例如 HTTP 通信默认情况下更新类型位于基本下将设置为定期更新以确保更新文件将以最小的网络流量从 ESET 服务器自动进行下载基本禁用显示关于成功更新的通知 - 关闭屏幕右下角的系统托盘通知如果正在运行全屏应用程序或游戏选择此选项很有用请注意演示模式将关闭所有通知默认情况下将更新服务器菜单设置为自动选择更新服务器是存储更新的地方如果使用 ESET 服务器我们建议您保持选中默认选项如果使用自定义更新服务器并希望将其改回为默认值请键入自动选择 ESET File Security 将自动选择 ESET 更新服务器使用本地 HTTP 服务器也称为镜像时更新服务器应进行如下设置使用启用 SSL 的本地 HTTP 服务器时更新服务器应进行如下设置使用本地共享文件夹时更新服务器应进行如下设置 \\computer_name_or_its_ip_address\shared_folder 从镜像更新更新服务器的验证基于授权密钥该密钥在您购买之后生成并发送给您当使用本地镜像服务器时您可以先定义凭据以便客户端在接收更新前登录镜像服务器默认情况下无需进行验证并且用户名和密码字段留空 95

96 821 更新回滚如果您单击回滚高级设置 (F5) > 更新 > 配置文件则必须从下拉菜单中选择时间间隔该间隔表示将暂停病毒库和程序模块更新的时段选择直到调用可将常规更新无限期推迟直到您手动恢复更新功能因为它具有潜在安全风险我们不建议选择此选项病毒库版本降级至最旧版本并作为快照存储在本地计算机文件系统中示例以１６４６作为病毒库最新版本１６４５和１６４３存储作为病毒库快照在下载１６４４之前注意到１６４４现在不可用例如因为计算机长时间关闭并且有更新的更新可用如果将本地存储的快照数量字段设置为２并单击回滚病毒库包括程序模块将恢复至版本号１６４３此过程需要一些时间在 ESET File Security 主程序窗口的更新部分检查病毒库版本是否已降级 822 更新模式更新模式选项卡包含关于程序组件更新的选项此程序使您能够预定义在有新的程序组件升级时执行何种操作程序组件更新会增加新的功能或对以前版本中已存在的功能进行更改更新无需用户介入即可自动执行您也可以选择执行时收取通知程序组件更新安装完毕后可能需要重新启动在程序组件更新部分中提供以下三个选项下载程序组件前询问 - 这是默认选项当更新可用时将提示您确认或拒绝程序组件更新总是更新程序组件 - 将自动下载并安装程序组件更新请记住计算机可能需要重新启动从不更新程序组件 - 不执行程序组件更新该选项适用于服务器安装因为服务器通常只在进行维护时才重新启动注意最适合选项的选择取决于将应用这些设置的工作站请注意工作站和服务器之间存在区别例如程序更新后自动重新启动服务器可能会造成严重损害如果启用了下载更新前先询问选项在新更新可用时将显示通知如果更新文件大小大于询问的前提是更新文件大于 kb) 字段中指定的值程序将显示通知 823 H T T P 代理要访问给定更新配置文件的代理服务器设置选项请单击高级设置树 F5) 中的更新然后单击 HTTP 代理单击代理模式下拉菜单并选择以下三个选项之一不使用代理服务器通过代理服务器连接使用全局代理服务器设置选择使用全局代理服务器设置选项将使用高级设置树的工具 > 代理服务器分支中已经指定的代理服务器配置选项选择不使用代理服务器可指定不使用代理服务器来更新 ESET File Security 以下情况下应使用通过代理服务器连接选项应使用代理服务器来更新 ESET File Security 同时与全局设置工具 > 代理服务器中指定的代理服务器不同如果是这种情况应在此处指定设置代理服务器地址通信端口默认情况下是３１２８再加上代理服务器的用户名和密码如果需要代理服务器设置未全局设置但是 ESET File Security 将连接到代理服务器以进行更新您的计算机通过代理服务器连接到 Internet 这些设置是在安装程序时从 Internet Explorer 获取的如果之后设置发生更改比如更换了 Internet 服务提供商请检查此窗口中列出的 HTTP 代理设置是否正确否则程序将无法连接到更新服务器代理服务器的默认设置为使用全局代理服务器设置注意用户名和密码等验证数据用于访问代理服务器仅当需要用户名和密码时才填写这些字段请注意 96

97 这些字段中不能填写 ESET File Security 的用户名密码仅当您知道通过代理服务器访问 Internet 需要填写密码时才填写这些信息 824 用以下身份连接到局域网从运行 Windows NT 版本操作系统的本地服务器更新时默认需要对每个网络连接进行验证若要配置此类帐户请从本地用户类型下拉菜单中选择系统帐户默认值当前用户指定的用户选择系统帐户默认以使用系统帐户进行验证通常如果主更新设置部分不提供验证数据则不会进行验证若要确保程序使用当前登录的用户帐户验证请选择当前用户此解决方案的缺点在于如果当前没有用户登录则程序将无法连接到更新服务器如果希望程序使用特定用户帐户进行验证请选择指定用户当默认系统帐户连接失败时使用此方式请注意指定用户帐户必须有权访问本地服务器上的更新文件目录否则程序将无法建立连接并下载更新警告选择当前用户或指定用户后如果将程序身份更改为所需用户可能发生错误我们建议在主更新设置部分中输入局域网验证数据在此更新设置部分中应按如下所示输入验证数据 domain_name\user 如果是工作组请输入 workgroup_name\name 和密码从本地服务器的 HTTP 版本更新时无需验证如果更新下载后与服务器的连接仍然保持活动状态则执行更新后断开与服务器的连接以强制断开连接 97

825 镜像 ESET File Security 允许您创建更新文件的副本可用于更新位于网络中的其他工作站使用镜像 - 在局域网环境中复制更新文件很方便因为更新文件不需要通过每台工作站从供应商更新服务器反复下载可将更新下载到本地镜像服务器然后分发给所有工作站以避免网络流量过载风险从镜像更新客户端工作站可优化网络负载平衡并节约 Internet 连接带宽

98 825 镜像 ESET File Security 允许您创建更新文件的副本可用于更新位于网络中的其他工作站使用镜像 - 在局域网环境中复制更新文件很方便因为更新文件不需要通过每台工作站从供应商更新服务器反复下载可将更新下载到本地镜像服务器然后分发给所有工作站以避免网络流量过载风险从镜像更新客户端工作站可优化网络负载平衡并节约 Internet 连接带宽本地镜像服务器的配置选项位于更新下的高级设置中要访问此部分请按 F5 以访问高级设置单击更新并选择镜像选项卡若要在客户端工作站上创建镜像请启用创建更新镜像启用此选项后将激活其他镜像配置选项例如访问更新文件的方式和镜像文件的更新路径访问更新文件通过内部 HTTP 服务器提供更新文件 - 启用后通过 HTTP 即可访问更新文件而无需提供凭据注意 Windows XP 需要 Service Pack 2 或更高版本以使用 HTTP 服务器在从镜像更新中详细描述了访问镜像服务器的方法有两种访问镜像的基本方法具有更新文件的文件夹可以表示为共享网络文件夹或者客户端可以访问位于 HTTP 服务器上的镜像用于为镜像存储更新文件的文件夹在存储镜像文件的文件夹下定义单击文件夹可浏览本地计算机上的文件夹或共享网络文件夹如果需要对指定文件夹的授权则必须在用户名和密码字段中输入验证数据如果选定的目标文件夹位于运行 Windows NT/2000/XP 操作系统的网络磁盘上则指定的用户名和密码必须对选定的文件夹有写权限用户名和密码应按照域用户或工作组用户的格式输入请记住提供相应密码文件 - 配置镜像后可指定要下载的更新的语言版本选定的语言必须受用户配置的镜像服务器支持 HTTP 服务器服务器端口 - 默认情况下服务器端口设置为２２２１ 98

99 验证 - 定义用于访问更新文件的验证方法有以下选项可供使用无基本和 NTLM 选择基本以使用 base64 编码进行基本用户名和密码验证 NTLM 选项提供使用安全编码方法的编码对于验证将使用在共享更新文件的工作站上创建的用户默认设置为无此设置授予对更新文件的访问权无需验证添加您的证书链文件或者如果您要运行具有 HTTPS (SSL) 支持的 HTTP 服务器也可以生成自签名证书可用的证书类型包括 ASN PEM 和 PFX 若要获得更高的安全性您可以使用 HTTPS 协议来下载更新文件几乎无法跟踪使用此协议的数据传输和登录凭据默认情况下私人密钥类型将设置为已集成因此默认禁用私人密钥文件选项这意味着私人密钥是所选证书链文件的一部分用以下身份连接到局域网本地用户类型 - 系统帐户默认当前用户和指定用户设置将显示在相应的下拉菜单中用户名和密码设置是可选项请参阅用以下身份连接到局域网如果更新下载后与服务器的连接仍然保持活动状态则选择更新后断开与服务器的连接以强制断开连接程序组件更新自动更新组件 - 允许安装新功能并更新现有功能无需用户介入即可自动执行更新或者您也可以选择在执行时收取通知程序组件更新安装完毕后可能需要重新启动立即更新组件 - 将程序组件更新到最新版本 8251 从镜像更新有两种配置镜像的基本方法该镜像实质上是一个存储库客户端可在其中下载更新文件具有更新文件的文件夹可以表示为共享网络文件夹或 HTTP 服务器使用内部 HTTP 服务器访问镜像此配置是默认的在预定义的程序配置中指定若要允许使用 HTTP 服务器访问镜像请浏览至高级设置 > 更新 > 镜像并选择创建更新镜像在HTTP 服务器部分镜像选项卡内可以指定 HTTP 服务器将侦听的服务器端口以及 HTTP 服务器使用的验证类型默认情况下服务器端口设置为 2221 验证选项定义用于访问更新文件的验证方法有以下选项可供使用无基本和 NTLM 选择基本以使用 base64 编码进行基本用户名和密码验证 NTLM 选项提供使用安全编码方法的编码对于验证将使用在共享更新文件的工作站上创建的用户默认设置为无此设置授予对更新文件的访问权无需验证警告如果您希望允许通过 HTTP 服务器访问更新文件镜像文件夹必须和创建它的 ESET File Security 实例位于同一计算机上用于 HTTP 服务器的 SSL 添加您的证书链文件或者如果您要运行具有 HTTPS (SSL) 支持的 HTTP 服务器也可以生成自签名证书可用的证书类型包括 PEM PFX 和 ASN 若要获得更高的安全性您可以使用 HTTPS 协议来下载更新文件几乎无法跟踪使用此协议的数据传输和登录凭据私人密钥类型默认设置为已集成这意味着私人密钥是所选证书链文件的一部分注意在几次尝试从镜像更新病毒库失败之后将在主菜单的更新窗格中显示用户名和或密码无效错误我们建议导航至高级设置 > 更新> 镜像并检查用户名和密码此错误的最常见原因是错误输入了验证数据配置镜像服务器后您必须在客户端工作站上添加新的更新服务器要执行该操作请遵循以下步骤访问高级设置 (F5) 并依次单击更新 > 基本取消自动选择并采用以下格式之一将新服务器添加到更新服务器字段如果使用 SSL 99

100 通过系统共享访问镜像首先应在本地或网络设备上创建共享文件夹为镜像创建文件夹时必须为将更新文件保存到文件夹的用户提供写入权限为所有将从镜像文件夹更新 ESET File Security 的用户提供读取权限接下来继续在高级设置 > 更新 > 镜像选项卡中配置对镜像的访问方法是禁用通过内部 HTTP 服务器提供更新文件程序安装包中默认启用此选项如果共享文件夹位于网络中的另一台计算机上必须输入验证数据以访问该计算机要输入验证数据请打开 ESET File Security 高级设置 (F5) 并依次单击更新 > 用以下身份连接到局域网如用以下身份连接到局域网部分所述此设置和用于更新的设置相同完成镜像配置后在客户端工作站上使用以下步骤将 \\UNC\PATH 设置为更新服务器 1 打开 ESET File Security 高级设置并依次单击更新 > 基本 2 单击更新服务器并使用 \\UNC\PATH 格式添加新服务器注意为使更新正常工作镜像文件夹的路径必须指定为 UNC 路径从映射驱动器进行的更新可能无法工作最后一个部分控制程序组件 PCU) 默认准备下载的程序组件复制本地镜像如果激活程序组件更新则无需单击更新因为当文件可用时将自动复制到本地镜像参见更新模式了解程序组件更新的更多信息 8252 镜像文件可用和本地化的程序组件文件的列表 8253 镜像更新问题故障排除在大多数情况下在从镜像服务器更新的过程中发生的问题可能因以下一种或多种情况引起错误地指定镜像文件夹选项镜像文件夹验证数据不正确尝试从镜像下载更新文件的本地工作站上的配置不正确或以上原因的综合下面我们简要介绍在从镜像更新的过程中可能发生的最常见问题连接到镜像服务器时 ESET File Security 报告错误可能因错误地指定本地工作站从中下载更新的更新服务器镜像文件夹的网络路径引起要验证文件夹请单击 Windows 开始菜单单击运行输入文件夹名称并单击确定应显示文件夹的内容 ESET File Security 需要用户名和密码 - 可能因在更新部分中输入了错误的验证数据用户名和密码引起用户名和密码用于授予对更新服务器的访问权程序将从更新服务器自行更新确保验证数据正确并以正确格式输入例如域用户名或工作组用户名再加上相应的密码如果镜像服务器可供所有人访问请注意这并不意味着向任何用户授予访问权所有人不意味着任何非授权用户它仅表示文件夹可供所有域用户访问因此如果文件夹可供所有人访问仍需要在更新设置部分中输入域用户名和密码连接到镜像服务器时 ESET File Security 报告错误定义用于访问 HTTP 版镜像的端口上的通信被阻止 826 如何创建更新任务更新可以手动方式触发方法是在主菜单中单击更新在显示的主窗口中单击更新病毒库更新还可以作为计划任务运行要配置计划任务请单击工具 > 计划任务默认情况下在 ESET File Security 中会启用以下任务定期自动更新拨号连接后自动更新用户登录后自动更新可以修改每个更新任务以满足您的需要除了默认更新任务外您还可以使用用户定义的配置创建新更新任务有关创建和配置更新任务的更多详细信息请参阅本指南的计划任务部分 100

101 83 Web 和电子邮件 Web 和电子邮件部分允许您配置电子邮件客户端防护使用 Web 访问保护保护您的 Internet 通信并通过配置协议过滤来控制 Internet 协议在通过 Internet 通信时这些功能对于保护您的计算机很重要电子邮件客户端防护控制所有电子邮件通信防止恶意代码并允许您在检测到感染时选择要采取的操作 Web 访问保护监视 Web 浏览器和远程服务器之间的通信并遵从 HTTP 和 HTTPS 规则此功能还允许您阻止允许或排除某些 URL 地址协议过滤是应用程序协议的高级保护并由 ThreatSense 扫描引擎提供无论使用 Web 浏览器还是电子邮件客户端该控件都会自动工作它还可用于加密的 SSL/TLS) 通信 831 协议过滤协议过滤针对应用程序协议的病毒防护由 ThreatSense 扫描引擎提供可与所有高级恶意软件扫描技术无缝集成无论使用哪种 Internet 浏览器或电子邮件客户端协议过滤都会自动工作若要编辑加密 SSL) 设置请转到 Web 和电子邮件 > SSL/TLS 启用应用程序协议内容过滤可以用于禁用协议过滤请注意许多 ESET File Security 组件 Web 访问保护电子邮件协议防护和网络钓鱼防护都依赖于此选项如果没有此选项组件将不起作用排除的应用程序允许您从协议过滤中排除特定远程地址在协议过滤导致兼容性问题时很有用排除的 IP 地址允许您从协议过滤中排除特定应用程序在协议过滤导致兼容性问题时很有用 Web 和电子邮件客户端仅用于 Windows 操作系统允许您选择通过协议过滤为其过滤所有通信的应用程序不管使用何种端口记录 ESET 支持所需的信息以诊断协议过滤问题启用诊断数据的高级日志记录仅在 ESET 支持有相关要求时使用此选项 8311 排除的应用程序要将特定网络感知应用程序的通信排除在内容过滤之外请在列表中选择它们将不检查选定应用程序的 HTTP/POP3 通信是否存在威胁我们建议仅当应用程序无法正常工作而需要检查其通信时才使用此选项单击添加后将自动显示已受协议过滤影响的应用程序和服务编辑编辑列表中的选定条目删除 - 删除列表中的选定条目 8312 排除的 IP 地址此列表中的 IP 地址将被排除在协议内容过滤之外将不检查往返选定地址的 HTTP/POP3/IMAP 通信是否存在威胁我们建议仅在地址可信赖时使用此选项添加 - 单击以添加将应用规则的远程点的 IP 地址地址范围子网编辑 - 编辑列表中的选定条目删除 - 删除列表中的选定条目 101

102 8313 W e b 和电子邮件客户端注意从 Windows Vista Service Pack 1 和 Windows Server 2008 开始使用新的 Windows 过滤平台 WFP) 架构检查网络通信由于 WFP 技术使用了特殊的监视技术因此 Web 和电子邮件客户端部分不可用由于 Internet 上充斥着大量恶意代码安全浏览 Internet 就成了计算机保护的一个非常重要的方面 Web 浏览器的漏洞和欺骗链接能够帮助恶意代码进入系统且不会引起注意这也是 ESET File Security 注重 Web 浏览器安全性的原因所在访问网络的每个应用程序都可以标记为 Internet 浏览器可以将已使用协议进行通信的应用程序或来自选定路径的应用程序添加到 Web 和电子邮件客户端列表 832 S S L/ T LS ESET File Security 能够检查使用 SSL/TLS 协议的通信中是否存在威胁通过受信任的证书未知证书或不受 SSL 保护的通信检查的证书可以将不同的扫描模式用于检查受 SSL 保护的通信启用 SSL/TLS 协议过滤 - 如果禁用协议过滤则该程序将不会通过 SSL/TLS 扫描通信 SSL/TLS 协议过滤模式在以下选项中可用自动模式 - 选择此选项来扫描所有受 SSL/TLS 保护的通信除了由排除在检查之外的证书保护的通信如果使用未知的签署的证书建立了新通信不会提示您且通信将自动被过滤当不受信任的证书被标记为受信任位于受信任的证书列表上而用来访问服务器时会允许对该服务器的通信也会过滤通信通道的内容交互模式 - 如果您输入一个受 SSL/TLS 保护的新站点使用未知证书将显示操作选择对话框此模式允许您创建将不扫描的 SSL/TLS 证书列表阻止使用已过时 SSL v2 协议加密的通信 - 将自动阻止使用早期版本的 SSL 协议的通信根证书根证书要使 SSL/TLS 通信在您的浏览器电子邮件客户端中正常工作请务必将 ESET 根证书添加到已知根证书发布者的列表中应启用将根证书添加到已知浏览器选中此选项可自动将 ESET 根证书添加到已知浏览器如 Opera 和 Firefox 对于使用系统证书存储的浏览器会自动添加证书例如在 Internet Explorer 中要将该证书应用到不受支持的浏览器请依次单击查看证书 > 详细信息 > 复制到文件然后手动将其导入该浏览器证书有效性使用 TRCA 证书机构无法验证该证书时在某些情况下无法使用受信任的根证书颁发机构 TRCA) 验证网站证书这意味着该证书将由某人例如 Web 服务器或小型企业的管理员签名将此证书视为受信任并不总是存在风险大部分大型企业例如银行使用 TRCA 签名的证书如果选中了询问证书的有效性默认为选中将在建立加密通信时提示用户选择要采取的操作您可以选择阻止使用该证书的通信以始终终止使用未验证证书站点的加密连接该证书无效或已损坏时这意味着证书已过期或已错误地签名在这种情况下我们建议保持选中阻止使用该证书的通信已知证书列表允许您自定义针对特定 SSL 证书的 ESET File Security 行为 8321 加密的 SSL 通信如果您的系统配置为使用 SSL 协议扫描在两种情况下将显示用于提示您选择操作的对话窗口首先如果网站使用无法验证或无效的证书而且 ESET File Security 配置为在此类情况下询问用户默认情况下无法验证的证书为是无效的证书为否将显示一个对话框询问您允许还是阻止该连接其次如果 SSL 协议过滤模式设置为交互模式用于每个网站的对话框都将询问要扫描还是忽略通信某些应用程序验证其 SSL 通信未受到任何人的修改或检查在此类情况下 ESET File Security 必须忽略该通信以保持应用程序正常工作在这两种情况下用户可以选择记住选中的操作保存的操作存储在已知证书列表中 102

103 8322 已知证书列表已知证书列表可用于自定义特定 SSL 证书的 ESET File Security 行为如果在 SSL 协议过滤模式下选中交互模式还可用于记住所选的操作可以在高级设置 (F5) > Web 和电子邮件 > SSL 协议检查 > 已知证书列表中查看和编辑该列表已知证书列表窗口包含列名称 - 证书名称证书颁发者 - 证书创建者的名称证书主题 - 主题字段可标识与存储在主题公共密钥字段中的公共密钥相关联的实体访问 - 选择允许或阻止作为访问操作以允许阻止受此证书保护的通信不管其可信度如何都是如此选择自动以允许受信任的证书并询问是否允许不受信任的证书选择询问以始终询问用户要执行的操作扫描 - 选择扫描或忽略作为扫描操作以扫描或忽略受此证书保护的通信选择自动以在自动模式下扫描并在交互模式进行询问选择询问以始终询问用户要执行的操作控件元素编辑 - 选择您希望配置的证书然后单击编辑删除 - 选择您希望删除的证书然后单击删除确定取消 - 如果您希望保存更改则单击确定如果您希望在不进行保存的情况下退出则单击取消 833 电子邮件客户端防护 ESET File Security 与电子邮件客户端的集成可提高针对电子邮件中恶意代码的主动防护级别如果您的电子邮件客户端受支持则可以在 ESET File Security 中启用集成如果激活了集成则 ESET File Security 工具栏将直接插入电子邮件客户端未插入适用于较新版本的 Windows Live Mail 的工具栏从而提供更高效的电子邮件防护集成设置位于设置 > 高级设置 > Web 和电子邮件 > 电子邮件客户端防护 > 电子邮件客户端下电子邮件客户端集成当前受支持的电子邮件客户端包括 Microsoft Outlook Outlook Express Windows Mail 和 Windows Live Mail 电子邮件保护的工作方式和这些程序的插件相同插件的主要优点在于它独立于所用的协议当电子邮件客户端收到加密邮件时邮件会解密并发送给病毒扫描程序有关支持的电子邮件客户端及其版本的完整列表请参考以下 ESET 知识库文章即使未启用集成电子邮件通信仍受电子邮件客户端防护模块 POP3 IMAP 保护如果使用电子邮件客户端仅限 MS Outlook 时遇到系统运行缓慢的情况请启用禁用对收件箱内容更改的检查当从 Kerio Outlook Connector Store 中检索电子邮件时可能会发生这种情况要扫描的电子邮件已接收的电子邮件 - 切换到检查已接收到的邮件已发送的电子邮件 - 切换到检查已发送的邮件已阅读的电子邮件 - 切换到检查已阅读的邮件要对被感染的电子邮件执行的操作不操作 - 如果启用则程序虽能识别感染的附件但不会对电子邮件采取任何操作删除电子邮件 - 程序会通知用户有关渗透的信息并删除邮件将电子邮件移到已删除文件夹 - 受感染的电子邮件将自动移至已删除文件夹将电子邮件移到文件夹 - 受感染的电子邮件将自动移至指定的文件夹文件夹 - 指定希望将检测到的受感染电子邮件移到的自定义文件夹更新后重新扫描 - 在病毒库更新后切换到重新扫描 103

104 接受其他模块的扫描结果 - 如果选中此选项电子邮件保护模块会接受其他保护模块的扫描结果 POP3 IMAP 协议扫描 8331 电子邮件协议 IMAP 和 POP3 协议是最广泛地用于在电子邮件客户端应用程序中接收电子邮件通信的协议无论使用何种电子邮件客户端 ESET File Security 均提供对这些协议的保护无需重新配置电子邮件客户端您可以在高级设置中配置 IMAP/IMAPS 和 POP3/POP3S 协议检查若要访问此设置请依次展开 Web 和电子邮件 > 电子邮件客户端防护 > 电子邮件协议 ESET File Security 还支持扫描 IMAPS 和 POP3S 协议这些协议使用加密通道在服务器和客户端之间传输信息 ESET File Security 利用 SSL 安全套接字层和 TLS 传输层安全协议检查通信无论操作系统版本如何该程序将只在 IMAPS/POP3S 协议使用的端口中定义的端口上扫描通信如果默认设置正在使用中将不会扫描加密通信若要启用加密通信扫描请导航到高级设置中的 SSL/TLS 协议检查依次单击 Web 和电子邮件 > SSL/TLS 然后选择启用 SSL/TLS 协议过滤 8332 警报和通知电子邮件防护可控制通过 POP3 和 IMAP 协议接收的电子邮件通信通过使用 Microsoft Outlook 和其他电子邮件客户端的插件程序 ESET File Security 可控制电子邮件客户端的所有通信 POP3 MAPI IMAP 和 HTTP 检查传入邮件时程序使用 ThreatSense 扫描引擎内包含的所有高级扫描方法这意味着恶意程序检测在与病毒库匹配之前就已进行对 POP3 和 IMAP 协议通信的扫描与使用何种电子邮件客户端无关此功能的选项在 Web 和电子邮件 > 电子邮件客户端防护 > 警报和通知下的高级设置中可用 ThreatSense 参数 - 高级病毒扫描程序设置使您能够配置扫描目标检测方法等单击以显示详细的病毒扫描程序设置窗口选中一个电子邮件后可将包含扫描结果的通知附加到邮件中您可以选择在已接收并阅读的电子邮件上添加标记消息在已接收并阅读的被感染电子邮件主题上添加注释或在已发送电子邮件上添加标记消息请注意在少数情形下标记消息可能被有问题的 HTML 邮件忽略而恶意软件也可能伪造这些消息可将标记消息添加到已接收已阅读的电子邮件已发送的电子邮件或两类邮件中都添加可用选项包括从不 - 不添加任何标记信息仅对被感染的电子邮件 - 仅将包含恶意软件的邮件标记为已选中默认对所有扫描的电子邮件 - 程序将把消息附加到所有已扫描的电子邮件上在已发送的被感染电子邮件主题中添加注释 - 如果不想要在被感染的电子邮件主题中包含病毒警告则禁用此选项此功能允许对被感染的电子邮件进行简单的基于主题的过滤如果电子邮件程序支持它还可提高收件人的可信性如果检测到渗透还可提供关于给定电子邮件或发件人威胁级别的宝贵信息添加到被感染电子邮件主题中的模板 - 如果您希望修改被感染电子邮件的主题前缀格式则编辑此模板此功能将替换邮件主题 "Hello" 为以下格式的给定前缀值 "[virus]" "[virus] Hello" 变量 %VIRUSNAME% 代表被感染的威胁 8333 MS Outlo o k 工具栏 Microsoft Outlook 防护以插件模块的方式工作安装 ESET File Security 后包含病毒防护选项的此工具栏将添加到 Microsoft Outlook ESET File Security - 单击图标打开 ESET File Security 的主程序窗口重新扫描邮件 - 使您能够手动启动电子邮件检查您可以指定将被检查的邮件并且可以启用对已接收电子邮件的重新扫描有关详细信息请参阅电子邮件客户端防护扫描程序设置 - 显示电子邮件客户端防护设置选项 104

105 8334 Outlo o k E xp re s s 和 W ind o ws Ma il 工具栏 Outlook Express 和 Windows Mail 防护以插件模块的方式工作安装 ESET File Security 后包含病毒防护选项的此工具栏将添加到 Outlook Express 或 Windows Mail ESET File Security - 单击图标打开 ESET File Security 的主程序窗口重新扫描邮件 - 使您能够手动启动电子邮件检查您可以指定将被检查的邮件并且可以启用对已接收电子邮件的重新扫描有关详细信息请参阅电子邮件客户端防护扫描程序设置 - 显示电子邮件客户端防护设置选项用户界面自定义外观 - 可为电子邮件客户端修改工具栏的外观取消选中此选项可以不依赖电子邮件程序参数而自定义外观显示文本 - 显示图标的说明右侧文本 - 选项说明将从图标的底部移到右侧大图标 - 显示菜单选项的大图标 8335 确认对话框此通知用于验证用户是否确实想执行所选操作这将消除可能发生的错误另一方面该对话框也提供禁用确认的选项 8336 重新扫描邮件 ESET File Security 工具栏与电子邮件客户端集成在一起使用户能指定若干电子邮件检查选项重新扫描邮件选项提供两种扫描模式当前文件夹中的所有邮件 - 扫描当前显示的文件夹中的邮件仅选定的邮件 - 仅扫描由用户标记的邮件重新扫描已扫描的邮件复选框为用户提供了选项可用来对以前已扫描的邮件再次执行扫描 834 W e b 访问保护 Internet 连接是大多数个人计算机的一项标准功能不幸地是它也成为传输恶意代码的主要媒介 Web 访问保护的功能是监视 Web 浏览器和远程服务器之间的通信并遵从 HTTP 超文本传输协议和 HTTPS 加密通信规则在下载内容之前将阻止访问已知包含恶意内容的网页所有其他网页在加载时会由 ThreatSense 扫描引擎进行扫描并且如果检测到恶意内容将阻止它们 Web 访问保护提供两种级别的保护按黑名单阻止和按内容阻止我们强烈建议您保持启用 Web 访问保护通过导航至设置 > 计算机 > Web 访问保护可以从 ESET File Security 的主程序窗口中访问此选项在高级设置 (F5) > Web 和电子邮件 > Web 访问保护中提供以下选项基本 - 允许您启用或禁用完整 Web 访问保护禁用该功能后以下选项会处于非活动状态 Web 协议 - 使您可以为大多数 Internet 浏览器使用的这些标准协议配置监视 URL 地址管理 - 使您指定要对其阻止允许或排除检查的 HTTP 地址 ThreatSense 引擎参数设置 - 高级病毒扫描程序设置使您能够为 Web 访问保护配置设置例如要扫描的对象类型电子邮件压缩文件等检测方法等 Web 协议 105

106 默认情况下 ESET File Security 将配置为监视由大部分 Internet 浏览器使用的 HTTP 协议在 Windows Vista 及更高版本中始终在所有应用程序的所有端口上监视 HTTP 通信在 Windows XP/2003 中您可以在高级设置 (F5) > Web 和电子邮件 > Web 访问保护 > Web 协议 > HTTP 扫描程序设置中修改由 HTTP 协议使用的端口在所有应用程序的指定端口上以及标记为 Web 和电子邮件客户端的应用程序的所有端口上监视 HTTP 通信 ESET File Security 还支持 HTTPS 协议检查 HTTPS 通信使用加密通道在服务器和客户端之间传输信息 ESET File Security 利用 SSL 安全套接字层和 TLS 传输层安全协议检查通信无论操作系统版本如何该程序将只在 HTTPS 协议使用的端口中定义的端口上扫描通信如果默认设置正在使用中将不会扫描加密通信若要启用加密通信扫描请导航到高级设置中的 SSL 协议检查依次单击 Web 和电子邮件 > SSL 协议检查然后选择启用 SSL 协议过滤 8341 基本选择是要启用默认还是禁用 Web 访问保护禁用该功能后以下选项会处于非活动状态注意我们强烈建议您保持启用 Web 访问保护通过导航至设置 > 计算机 > Web 访问保护还可以从 ESET File Security 的主程序窗口中访问此选项 8342 U R L 地址管理 URL 地址管理部分可允许您指定要对其阻止允许或排除检查的 HTTP 地址将不能访问已阻止地址列表中的网站除非它们还包含在已允许地址的列表中在访问时不会针对不进行检查的地址列表中的网站进行扫描以查找恶意代码如果您在过滤 HTTP 网页之外还希望过滤 HTTPS 地址则必须选中启用 SSL/TLS 协议过滤否则将仅添加您访问过的 HTTPS 站点的域而不会添加完整 URL 在所有列表中您都可以使用特殊符号星号和问号星号表示任何数字或字符而问号表示任一字符指定排除的地址时请务必谨慎因为此列表应仅包含信任的和安全的地址同样必须确保在此列表中正确使用符号和如果您希望阻止所有 HTTP 地址活动的允许的地址列表中存在的地址除外请将添加到活动的阻止的地址列表添加 - 除了预定义的列表创建新列表如果您希望按逻辑拆分不同的地址组这非常有用例如一个阻止的地址列表可能包含某些外部公开黑名单中的地址另一个阻止的地址列表可能包含您自己的黑名单这可在保持您的黑名单不变的同时轻松更新外部列表编辑 - 修改现有列表使用此选项从列表中添加或删除地址删除 - 删除现有列表仅适用于使用添加创建的列表不适用于默认列表新建列表此部分允许您指定将会被阻止允许或从检查中排除的 URL 地址掩码的列表在新建列表时可配置以下选项地址列表类型 - 提供三种列表类型不检查的地址列表 - 程序不会对已添加至此列表的任何地址执行恶意代码检查阻止的地址列表 - 将不允许用户访问此列表中指定的地址这仅适用于 HTTP 协议将不会阻止除 HTTP 之外的协议允许的地址列表 - 如果启用了仅允许访问许可地址列表中的 HTTP 地址选项且阻止地址列表中包含与所有地址相匹配则将只允许用户访问此列表中指定的地址允许该列表中的地址即使这些地址还与阻止的地址列表相匹配也是如此列表名称 - 指定列表的名称在编辑三个预定义列表之一时此字段将变灰列表说明 - 键入列表的简短说明可选在编辑三个预定义列表之一时将变灰要激活列表请选中该列表旁边的列表活动如果您希望在特定列表用于评估您访问过的 HTTP 网站时收到通 106

107 知请选择应用时发送通知例如将在阻止或允许网站时发出通知因为它包含在阻止或允许的地址列表中该通知将包含含有指定网站的列表的名称添加 - 将新 URL 地址添加到列表输入带有分隔符的多个值编辑 - 修改列表中的现有地址仅可用于使用添加创建的地址删除 - 删除列表中的现有地址仅可用于使用添加创建的地址导入 - 导入带有 URL 地址的文件使用换行符分隔值例如使用编码 UTF-8 的 txt 地址列表在此部分中您可以指定将会被阻止允许或从检查中排除的 HTTP 地址的列表默认情况下有以下三种列表可供使用不检查的地址列表 - 程序不会对已添加至此列表的任何地址执行恶意代码检查允许的地址列表 - 如果启用了仅允许访问许可地址列表中的 HTTP 地址且阻止地址列表中包含与所有地址相匹配则将只允许用户访问此列表中指定的地址允许该列表中的地址即使这些地址包含在阻止地址列表中也是如此阻止的地址列表 - 将不允许用户访问此列表中指定的地址除非这些地址还出现在允许的地址列表中单击添加创建新的列表若要删除选定列表请单击删除 835 网络钓鱼防护网络钓鱼这一术语是指利用社会工程学操纵用户以获取机密信息的一种犯罪活动网络钓鱼通常用于获取敏感信息如银行帐号 PIN 码等的访问权限在词汇表中阅读此活动的详细信息 ESET File Security 包括网络钓鱼防护用于阻止散布此类内容的已知网页我们强烈建议您启用 ESET File Security 中的网络钓鱼防护若要执行此操作请打开高级设置 (F5) 并导航至 Web 和电子邮件 > 网络钓鱼防护有关 ESET File Security 中网络钓鱼防护的详细信息请访问我们的知识库文章访问网络钓鱼网站当访问已识别的网络钓鱼网站时以下对话框将显示在您的 Web 浏览器中如果您仍需要访问该网站请单击继续浏览此网站不推荐 107

注意在默认情况下白名单上列出的潜在网络钓鱼网站将在几小时后过期要永久允许某一网站可使用 URL 地址管理工具通过高级设置 (F5) 展开 Web 和电子邮件 > Web 访问保护 > URL 地址管理> 地址列表并单击编辑然后向该列表添加要编辑的网站报告网络钓鱼站点报告链接使您能够向 ESET 报告网络钓鱼恶意网站以供分析注意

108 注意在默认情况下白名单上列出的潜在网络钓鱼网站将在几小时后过期要永久允许某一网站可使用 URL 地址管理工具通过高级设置 (F5) 展开 Web 和电子邮件 > Web 访问保护 > URL 地址管理> 地址列表并单击编辑然后向该列表添加要编辑的网站报告网络钓鱼站点报告链接使您能够向 ESET 报告网络钓鱼恶意网站以供分析注意向 ESET 提交网站前确保其满足以下一个或多个标准未检测到该网站该网站被错误地检测为威胁在此情况下您可以报告误报的网络钓鱼站点此外也可以通过电子邮件提交网站请将电子邮件发送至请记住邮件主题一定要描述清楚邮件应包含尽可能多的有关此网站的信息例如从哪里引用了此网站您是如何了解到它的等 108

109 84 设备控制 ESET File Security 提供自动设备 CD/DVD/USB/) 控制此模块允许您扫描阻止或调整扩展的过滤器权限并定义用户访问和使用给定设备的能力如果计算机管理员不希望使用包含不请自来的内容的设备此模块将很有用支持的外部设备磁盘存储 HDD USB 可移动磁盘 CD/DVD USB 打印机 FireWire 存储蓝牙设备智能卡读卡器刻录设备调制解调器 LPT/COM 端口便携式设备所有设备类型可以在高级设置 (F5) > 设备控制中修改设备控制设置选项启用集成到系统旁的开关激活 ESET File Security 中的设备控制功能要使此更改生效需要重新启动计算机启用设备控制后规则编辑器将处于活跃状态以允许您打开规则编辑器窗口如果插入受现有规则阻止的设备则将显示通知窗口并且不会授予对设备的访问权限 841 设备控制规则编辑器设备控制规则编辑器窗口显示现有规则允许精确控制用户连接到计算机的外部设备可以按照用户用户组或规则配置中可指定的其他参数来允许或阻止特定设备规则列表包含规则的多个说明例如其名称外部设备类型将外部设备连接到计算机后执行的操作以及日志严重级别单击添加或编辑以管理规则若要删除选定的规则请单击删除或者取消选中给定规则旁的启用复选框以禁用它如果不希望永久删除规则以便将来可以使用该规则这可能很有用复制 - 基于选定规则的参数创建新规则单击填充可以为连接到计算机的设备自动填充可移动磁盘设备参数按优先级顺序列出规则具有较高优先级的规则比较靠近顶端您可以选择多个规则并应用操作例如删除它们或通过单击最高向上向下最低箭头按钮在列表中上下移动它们从 ESET File Security 主程序窗口的工具 > 日志文件可以查看日志条目 842 添加设备控制规则设备控制规则定义满足规则条件的设备连接到计算机时将采取的操作在名称字段中输入规则说明以更好识别单击已启用规则旁的开关以禁用或启用此规则如果不希望永久删除此规则这可能会有用设备类型从下拉菜单中选择外部设备类型磁盘存储便携式设备蓝牙 FireWire/ 设备类型从操作系统继承只要设备连接到计算机就可在系统设备管理器中查看存储设备包括通过 USB 或 FireWire 连接的外部磁盘或传统存储卡读卡器智能卡读卡器包括具有嵌入式集成电路的所有智能卡读卡器如 SIM 卡或身份验证卡成像设备示例包括扫描仪或照相机这些设备不提供用户信息仅提供用户操作信息这意味着只能全局阻止成像设备操作可以允许或阻止访问非存储设备相比之下存储设备规则允许选择以下权限设置之一 109

110 读写 - 将允许对设备的完全访问权限阻止 - 将阻止对设备的访问只读 - 仅允许对设备进行读取访问警告 - 每次连接设备时系统都会通知用户这是否得到允许或受到阻止并且将记录日志条目系统不会记住设备在以后连接同一设备时仍会显示通知请注意不是所有权限操作都可用于所有设备类型如果设备具有存储空间则所有四个操作都可用对于非存储设备只有两个操作可用例如只读操作对蓝牙不可用因此这意味着只能允许或阻止蓝牙设备下面显示的其他参数可用于微调规则并根据设备定制所有参数都不区分大小写供应商 - 按供应商名称或 ID 过滤型号 - 设备的给定名称序列号 - 外部设备通常具有自己的序列号如果是 CD/DVD 这是给定介质的序列号而不是 CD 驱动器注意如果这三个描述符是空的则匹配后该规则将忽略这些字段所有文本字段中的过滤参数都不区分大小写并且不支持通配符提示要找出设备参数请创建允许此设备类型的规则将设备连接到计算机然后查看设备控制日志中的设备详细信息严重级别始终 - 记录所有事件诊断 - 记录微调程序所需的信息信息 - 记录包括成功更新消息及以上所有记录在内的信息性消息警告 - 记录严重错误和警告消息无 - 不记录任何日志可以通过将规则添加到用户列表来将规则限制为特定用户或用户组添加 - 打开对象类型用户或组对话框该窗口可用来选择需要的用户删除 - 从过滤器删除选定用户注意所有设备均可按用户规则进行过滤例如成像设备不提供用户信息仅提供已调用操作的信息 843 已检测的设备填充按钮提供了当前所有已连接设备的概述其中包括以下信息设备类型设备供应商型号以及序列号如果有当您从已检测的设备列表选择某个设备并单击确定时将显示具有预定义信息的规则编辑器窗口可调整所有设置 844 设备组连接到计算机的设备可能会带来安全风险设备组窗口分为两个部分该窗口右侧包含属于各个组的设备列表而该窗口左侧包含现有组的列表选择包含要在右窗格中显示的设备的组打开设备组窗口且选择组后您可以从该列表添加或删除设备另一种向组添加设备的方法是从文件导入它们此外还可以单击填充然后连接到计算机的所有设备将在已检测的设备窗口中列出从已填充的列表中选择设备然后单击确定以将其添加到组控件元素添加 - 可通过输入组的名称将该组添加到现有组或将设备添加到现有组可以选择指定详细信息如供应商名称型号和序列号具体取决于您单击该按钮时它在窗口中所处的位置编辑 - 让您可以修改选定组的名称或其中包含的设备的参数供应商名称型号和序列号删除 - 删除选定组或设备具体取决于您在窗口中单击的位置导入 - 从文件导入设备列表 110

111 填充按钮提供了当前所有已连接设备的概述其中包括以下信息设备类型设备供应商型号以及序列号如果有完成自定义后单击确定若要在不保存更改的情况下离开设备组窗口请单击取消提示: 您可以针对应用的不同规则来创建不同的设备组也可以针对通过读写或只读操作所应用的规则仅创建一个设备组这确保了在未标识的设备连接到计算机时设备控制会阻止它们注意不是所有操作权限都可用于所有设备类型对于存储设备所有四项操作都可用对于非存储设备只有三项操作可用例如只读操作对蓝牙不可用因此这意味着只能允许阻止或警告蓝牙设备 85 工具下面是 ESET File Security 在 GUI 窗口中的工具选项卡下提供的所有工具的高级设置 851 E S E T Liv e Grid ESET LiveGrid 是包含多种基于云的技术的高级预警系统它帮助基于信誉检测新威胁并通过白名单提高扫描性能新威胁信息将实时传输到云这使 ESET 恶意软件研究实验室能够提供及时的响应并始终提供持续的防护用户可以直接从程序界面或右键菜单检查运行进程和文件的信誉并从 ESET LiveGrid 获取其他信息安装 ESET File Security 时请选择以下选项之一 1 您可以决定不启用 ESET LiveGrid 您的软件不会失去任何功能但在某些情况下 ESET File Security 可能会比病毒库更新更慢地响应新威胁 2 您可以配置 ESET LiveGrid 以提交关于新威胁以及检测到的新威胁代码所在位置的匿名信息此文件可以发送到 ESET 以供详细分析研究这些威胁将帮助 ESET 更新其威胁检测功能 ESET LiveGrid 将收集您的计算机中与新检测到的威胁相关的信息这些信息可能包括出现威胁的文件的样本或副本该文件的路径文件名日期和时间威胁出现在计算机上的过程以及有关您的计算机操作系统的信息默认情况下 ESET File Security 配置为提交可疑文件以供 ESET 病毒实验室详细分析始终排除具有特定扩展名的文件例如 doc 或 xls 如果您或您的组织希望避免发送特定类型的文件也可以添加其他扩展名 ESET LiveGrid 信誉系统提供了基于云的白名单和黑名单若要访问 ESET LiveGrid 的设置请按 F5 以进入高级设置然后依次展开工具 > ESET LiveGrid 启用 ESET LiveGrid 信誉系统建议 - ESET LiveGrid 信誉系统通过将已扫描的文件与云中白名单和黑名单项目数据库进行比较可提高 ESET 恶意软件防护解决方案的效率提交匿名统计 - 允许 ESET 收集有关新检测到的威胁的信息如威胁名称检测日期和时间检测方法和相关联的元数据产品版本以及配置其中包括有关您的系统的信息提交文件 - 将类似威胁的可疑文件和或具有不正常特征或行为的文件提交给 ESET 以供分析选择启用日志记录以创建记录文件和统计信息提交的事件日志这将启用在发送文件或统计信息后记录到事件日志联系人电子邮件可选 - 您的联系人电子邮件可以与任何可疑文件一起发送而且可能用于在需要进一步信息以供分析时联系您请注意除非需要更多信息否则 ESET 不会与您联系排除 - 排除过滤器允许您不提交某些文件文件夹例如在排除诸如文档或电子表格等可能包含机密信息的文件时会很有用列出的文件即使包含可疑代码也不会发送给 ESET 实验室以供分析默认情况下最常见的文件类型均会排除 doc 等如果需要可以添加到排除文件列表如果您以前使用过 ESET LiveGrid 但已禁用它可能仍会发送数据包即使已停用此类数据包也会发送给 ESET 发送完当前所有信息后将不会再创建任何数据包 111

112 8511 排除过滤器 ESET LiveGrid 中排除旁的编辑选项可用于配置将威胁提交到 ESET 病毒实验室以供分析的方式如果发现可疑文件可以将其提交到我们的威胁实验室进行分析如果文件是一个恶意应用程序则下次病毒库更新中将添加对此程序的检测 852 隔离将被感染或可疑的文件以无危险方式存储在隔离区文件夹中默认情况下实时防护模块隔离所有新创建的可疑文件以避免受感染每次更新后重新扫描被隔离文件 - 所有隔离对象将在每次病毒库更新之后扫描因误报检测将文件移动到隔离区时此功能尤其有用启用此选项后某些类型的文件可以自动恢复到其初始位置 853 Mic ro s o ft W ind o ws 更新 Windows 更新提供对潜在危险的漏洞的重要修复并提高计算机的常规安全级别出于此原因即时安装 Microsoft Windows 更新很重要 ESET File Security 会根据您指定的级别通知您有关错过的更新可用级别包括无更新 - 不提供系统更新供下载可选更新 - 将提供标记为低优先级及更高优先级的更新供下载建议的更新 - 将提供标记为常用及更高优先级的更新供下载重要更新 - 将提供标记为重要及更高优先级的更新供下载关键更新 - 仅提供关键更新供下载单击确定可保存更改在验证更新服务器的状态后将显示系统更新窗口在保存更改后系统更新信息可能无法立即使用 854 W MI 提供程序关于 WMI Windows 管理设备 WMI) 是基于 Web 的企业管理 WBEM) 的 Microsoft 实现 WBEM 是一个行业计划旨在开发在企业环境中访问管理信息的标准技术有关 WMI 的详细信息请参阅 aa384642(v=vs85)aspx ESET WMI 提供程序 ESET WMI 提供程序的目的是允许在企业环境中远程监视 ESET 产品而无需任何 ESET 特定的软件或工具通过 WMI 公开基本产品状态和统计信息在监视 ESET 产品时我们极大地增强了企业管理员的可能作用管理员可以利用由 WMI 提供的大量访问方法命令行脚本和第三方企业监视工具来监控其 ESET 产品的状态当前的实现提供了对基本的产品信息安装的功能以及它们的防护状态个别扫描程序的统计信息和产品的日志文件的只读访问权限 WMI 提供程序支持使用标准 Windows WMI 基础架构和工具读取产品状态和产品日志 8541 提供的数据所有与 ESET 产品相关的 WMI 类都位于 root\eset 命名空间中当前已实现以下类将在以下部分详细介绍它们常规 ESET_Product ESET_Features ESET_Statistics 日志 112

113 ESET_ThreatLog ESET_EventLog ESET_ODFileScanLogs ESET_ODFileScanLogRecords ESET_ODServerScanLogs ESET_ODServerScanLogRecords ESET_GreylistLog ESET_SpamLog ESET_Product 类 ESET_Product 类可能只包括一个实例此类的属性表示您已安装的 ESET 产品的基本信息 ID - 产品类型标识符例如 essbe Name - 产品名称例如 ESET Security Edition - 产品的版本例如 Microsoft SharePoint Server Version - 产品版本号例如４５１５１３ VirusDBVersion - 病毒库版本号例如７８６８２１３１７ VirusDBLastUpdate - 病毒库最后更新版本的时间戳该字符串包含采用 WMI 日期时间格式的时间戳例如２１３１１８１１５５１１６ LicenseExpiration - 许可证过期时间该字符串包含采用 WMI 日期时间格式的时间戳例如２１３１１８１１５５１１６ KernelRunning - 指示 ekrn 服务是否在计算机上运行的布尔值例如 TRUE StatusCode - 指示产品防护状态的数字绿色良好１黄色警告２红色错误 StatusText - 描述出现非零状态代码的原因的消息否则为空 ESET_Features 类 ESET_Features 类具有多个实例具体取决于产品功能数每个实例都包含 Name - 功能名称名称列表在下面提供 Status - 功能状态非活动１禁用２启用表示当前可识别的产品功能的字符串的列表 CLIENT_FILE_AV - 文件系统实时病毒防护 CLIENT_WEB_AV - 客户端 Web 病毒防护 CLIENT_DOC_AV - 客户端文档病毒防护 CLIENT_NET_FW - 客户端个人防火墙 CLIENT_ _AV - 客户端电子邮件病毒防护 CLIENT_ _AS - 客户端电子邮件反垃圾邮件防护 SERVER_FILE_AV - 对受保护的文件服务器产品上的文件的实时病毒防护例如以 ESET File Security 为例 SharePoint 的内容数据库中的文件 SERVER_ _AV - 对受保护的服务器产品中的电子邮件的病毒防护例如 MS Exchange 或 IBM Domino 中的电子邮件 SERVER_ _AS - 对受保护的服务器产品中的电子邮件的反垃圾邮件防护例如 MS Exchange 或 IBM Domino 中的电子邮件 SERVER_GATEWAY_AV - 对网关上受保护的网络协议的病毒防护 SERVER_GATEWAY_AS - 对网关上受保护的网络协议的反垃圾邮件防护 113

114 ESET_Statistics 类 ESET_Statistics 类具有多个实例具体取决于产品中的扫描程序数每个实例都包含 Scanner - 特定扫描程序的字符串代码例如 CLIENT_FILE Total - 已扫描文件的总数 Infected - 找到的受感染文件的数量 Cleaned - 已清除文件的数量 Timestamp - 对此统计信息的最后一次更改的时间戳采用 WMI 日期时间格式例如２１３１１８１１５５１１ +060 ResetTime - 最后一次重置统计计数器时的时间戳采用 WMI 日期时间格式例如２１３１１８１１５５１１ +060 表示当前可识别的扫描程序的字符串的列表 CLIENT_FILE CLIENT_ CLIENT_WEB SERVER_FILE SERVER_ SERVER_WEB ESET_ThreatLog 类 ESET_ThreatLog 类具有多个实例每个实例表示检测到的威胁日志中的一条日志记录每个实例都包含 ID - 此日志记录的唯一 ID Timestamp - 日志记录的创建时间戳采用 WMI 日期时间格式 LogLevel - 日志记录的严重性以 [0-8] 内的数字表示这些值与以下命名级别相对应 Debug Info-Footnote Info Info-Important Warning Error SecurityWarning Error-Critical SecurityWarning-Critical Scanner - 创建此日志事件的扫描程序的名称 ObjectType - 生成此日志事件的对象的类型 ObjectName - 生成此日志事件的对象的名称 Threat - 已在由 ObjectName 和 ObjectType 属性描述的对象中找到的威胁的名称 Action - 识别威胁后所执行的操作 User - 导致此日志事件生成的用户帐户 Information - 对事件的其他描述 ESET_EventLog ESET_EventLog 类具有多个实例每个实例表示事件日志中的一条日志记录每个实例都包含 ID - 此日志记录的唯一 ID Timestamp - 日志记录的创建时间戳采用 WMI 日期时间格式 LogLevel - 日志记录的严重性以 [0-8] 区间内的数字表示这些值与以下命名级别相对应 Debug InfoFootnote Info Info-Important Warning Error SecurityWarning Error-Critical SecurityWarning-Critical 模块 - 创建此日志事件的模块的名称事件 - 事件的说明 User - 导致此日志事件生成的用户帐户 ESET_ODFileScanLogs ESET_ODFileScanLogs 类具有多个实例每个实例表示一条手动文件扫描记录这相当于其中包含日志的 GUI 手动计算机扫描列表每个实例都包含 ID - 此手动日志的唯一 ID Timestamp - 日志的创建时间戳采用 WMI 日期时间格式 Targets - 扫描的目标文件夹对象 TotalScanned - 已扫描对象的总数 Infected - 找到的受感染对象的数量 Cleaned - 已清除对象的数量 Status - 扫描进程的状态 114

115 ESET_ODFileScanLogRecords ESET_ODFileScanLogRecords 类具有多个实例每个实例表示一个扫描日志由 ESET_ODFileScanLogs 类中的实例表示中的一条日志记录此类中的实例提供所有手动扫描日志的日志记录当仅需某个特定扫描日志中的实例时必须按 LogID 属性对其进行过滤每个类实例都包含 LogID - 此日志所属的扫描日志的 ID ESET_ODFileScanLogs 类中某个实例的 ID ID - 此扫描日志记录的唯一 ID Timestamp - 日志记录的创建时间戳采用 WMI 日期时间格式 LogLevel - 日志记录的严重性以 [0-8] 内的数字表示这些值与以下命名级别相对应 Debug Info-Footnote Info Info-Important Warning Error SecurityWarning Error-Critical SecurityWarning-Critical Log - 实际日志消息 ESET_ODServerScanLogs ESET_ODServerScanLogs 类具有多个实例每个实例表示手动服务器扫描的一次运行每个实例都包含 ID - 此手动日志的唯一 ID Timestamp - 日志的创建时间戳采用 WMI 日期时间格式 Targets - 扫描的目标文件夹对象 TotalScanned - 已扫描对象的总数 Infected - 找到的受感染对象的数量 Cleaned - 已清除对象的数量 RuleHits - 规则命中总数 Status - 扫描进程的状态 ESET_ODServerScanLogRecords ESET_ODServerScanLogRecords 类具有多个实例每个实例表示一个扫描日志由 ESET_ODServerScanLogs 类中的实例表示中的一条日志记录此类中的实例提供所有手动扫描日志的日志记录当仅需某个特定扫描日志中的实例时必须按 LogID 属性对其进行过滤每个类实例都包含 LogID - 此日志所属的扫描日志的 ID ESET_ODServerScanLogs 类中某个实例的 ID ID - 此扫描日志记录的唯一 ID Timestamp - 日志记录的创建时间戳采用 WMI 日期时间格式 LogLevel - 日志记录的严重性以 [0-8] 区间内的数字表示这些值与以下命名级别相对应 Debug InfoFootnote Info Info-Important Warning Error SecurityWarning Error-Critical SecurityWarning-Critical Log - 实际日志消息 ESET_GreylistLog ESET_GreylistLog 类具有多个实例每个实例表示灰名单日志中的一条日志记录每个实例都包含 ID - 此日志记录的唯一 ID Timestamp - 日志记录的创建时间戳采用 WMI 日期时间格式 LogLevel - 日志记录的严重性以 [0-8] 内的数字表示这些值与以下命名级别相对应 Debug Info-Footnote Info Info-Important Warning Error SecurityWarning Error-Critical SecurityWarning-Critical HELODomain - HELO 域的名称 IP - 源 IP 地址 Sender - 电子邮件发件人 Recipient - 电子邮件收件人 Action - 执行的操作 TimeToAccept - 接受电子邮件前所需的分钟数 115

116 ESET_SpamLog ESET_SpamLog 类具有多个实例每个实例表示垃圾邮件日志中的一条日志记录每个实例都包含 ID - 此日志记录的唯一 ID Timestamp - 日志记录的创建时间戳采用 WMI 日期时间格式 LogLevel - 日志记录的严重性以 [0-8] 内的数字表示这些值与以下命名级别相对应 Debug Info-Footnote Info Info-Important Warning Error SecurityWarning Error-Critical SecurityWarning-Critical Sender - 电子邮件发件人 Recipient - 电子邮件收件人 Subject - 电子邮件主题 Received - 接收时间 Score - 垃圾邮件分数采用百分制 [0-100] Reason - 此电子邮件标记为垃圾邮件的原因 Action - 执行的操作 DiagInfo - 其他诊断信息 8542 访问提供的数据以下提供几个有关如何从 Windows 命令行和 PowerShell 访问 ESET WMI 数据的示例应可从当前任何 Windows 操作系统进行操作但是还存在使用其他脚本语言和工具访问该数据的许多其他方法不带脚本的命令行此wmic 命令行工具可用于访问各种预定义的或任何自定义的 WMI 类显示本地计算机上的产品的完整信息 wmic /namespace:\\root\eset Path ESET_Product 仅显示计算机上的产品的产品版本号 wmic /namespace:\\root\eset Path ESET_Product Get Version 显示 IP 为１１１１８１８的远程计算机上的产品的完整信息 wmic /namespace:\\root\eset /node: /user:administrator Path ESET_Product PowerShell 获取并显示本地计算机上的产品的完整信息 Get-WmiObject ESET_Product -namespace 'root\eset' 获取并显示 IP 为１１１１８１８的远程计算机上的产品的完整信息 $cred = Get-Credential # 提示用户输入凭据并将其存储在变量中 Get-WmiObject ESET_Product -namespace 'root\eset' -computername ' ' -cred $cred 855 E R A 扫描目标此功能允许 ESET Remote Administrator 使用相应的 Hyper-V 扫描目标当在服务器上与 ESET File Security 一起运行服务器扫描客户端任务时当您启用生成目标列表功能时 ESET File Security 将创建当前可用扫描目标的列表此列表将根据定义的更新时段以分钟为单位定期生成当 ERA 想要运行服务器扫描客户端任务时它将收集该列表并允许您为该特定服务器上的手动扫描选择扫描目标注意在首次启用生成目标列表时 ERA 需要花费大约一半的指定更新时段来选取它所以如果更新时段设置为６分钟 ERA 要花费大约３分钟接收扫描目标列表如果需要 ERA 更早地收集列表请将更新时段设置为较小的值您始终可以稍后增加此值 116

117 856 日志文件该部分允许您修改 PN%> 日志记录的配置您可以使用开关禁用或启用特定功能若要启动实际日志记录需要在主菜单设置 > 工具中启用产品级别的通用诊断日志记录诊断日志记录 - 您可以使用开关禁用或启用群集诊断日志记录如果需要它在默认情况下处于启用状态这意味着群集日志记录将包括在通用诊断日志记录中日志文件 - 可以定义日志的管理方式程序自动删除旧的日志以节省磁盘空间自动删除早于以下天数的记录字段中指定天数以前的日志条目将自动删除如果已超过日志大小则自动删除旧记录 - 如果日志大小超过最大日志大小 [MB] 将删除旧的日志记录直到达到减少的日志大小 [MB] 备份自动删除的记录自动删除的日志记录和文件将备份到指定目录下并且可以选择压缩为 ZIP 文件备份诊断日志 - 将备份自动删除的诊断日志如果未启用则不备份诊断日志记录备份文件夹 - 将存储日志备份的文件夹您可以启用使用 ZIP 压缩的日志备份自动优化日志文件 - 如果执行则碎片百分比高于如果未使用记录数超过字段中指定的值后将自动整理日志文件碎片单击优化以开始整理日志文件的碎片将删除所有空白日志条目以改善性能并提高日志处理速度尤其在日志包含大量条目时可以感受到这种改善效果打开启用文本协议以支持采用不同于日志文件的其他文件格式存储日志目标目录 - 将存储日志文件的目录仅适用于文本 CSV 每个日志部分都具有其自己的文件该文件具有预定义的文件名例如如果您使用纯文本文件格式存储日志则日志文件的检测到的威胁部分将使用 virlogtxt 类型 - 如果您选择文本文件格式日志将存储在文本文件中数据将由制表符分隔这也适用于由逗号分隔的 CSV 文件格式如果您选择事件则日志将存储在 Windows 事件日志可以使用控制面板中的事件查看器进行查看而非文件中删除将擦除当前在类型下拉菜单中选定的所有存储日志注意为了帮助更快地解决问题 ESET 客户服务部门会要求您提供计算机日志 ESET 日志收集器可使您轻松收集所需信息有关 ESET 日志收集器的详细信息请参阅我们的 ESET 知识库文章 8561 日志过滤日志存储重要系统事件的相关信息日志过滤功能可以显示特定类型事件的记录将搜索关键字输入到查找文本字段中使用在列中搜索下拉菜单优化您的搜索记录类型 - 从下拉菜单选择一个或多个记录日志类型诊断 - 记录微调程序所需的信息和以上所有记录信息性 - 记录包括成功更新消息及以上所有记录在内的信息性消息警告 - 记录严重错误和警告消息错误 - 将记录类似下载文件时出错等错误和严重错误严重 - 仅记录严重错误启动病毒防护时出错时段 - 定义想要显示其结果的时段仅全字匹配 - 如果想要搜索特定的全字以得到更精确的结果则选中此复选框区分大小写 - 如果在过滤时使用大写或小写对您很重要则启用此选项 117

118 8562 在日志中查找除了日志过滤您还可以使用日志文件中的搜索功能但您也可以通过日志过滤单独使用它这在您寻找日志中的特定记录时很有用类似日志过滤此搜索功能将帮助您查找需要的信息尤其在有太多记录时在日志中进行搜索时您可以通过键入特定字符串查找文本使用在列中搜索下拉菜单按列搜索选择记录类型并设置时段以仅搜索特定时段内的记录通过指定某些搜索选项在日志文件窗口中仅搜索相关记录根据搜索选项查找文本键入字符串词语或部分词语将仅查找包含此字符串的记录将省略其他记录在列中搜索选择在搜索时将考虑哪些列您可以选中一个或多个列以用于搜索默认情况下将选中所有列时间已扫描的文件夹事件用户记录类型从下拉菜单中选择一个或多个记录日志类型诊断 - 记录微调程序所需的信息和以上所有记录信息性 - 记录包括成功更新消息及以上所有记录在内的信息性消息警告 - 记录严重错误和警告消息错误 - 将记录类似下载文件时出错等错误和严重错误严重 - 仅记录严重错误启动病毒防护时出错时段定义想要显示其结果的时段未指定默认不在时段内搜索而是搜索整个日志前一天上一周上个月时段 - 可以指定精确的时段日期和时间仅搜索指定时段内的记录仅全字匹配 - 仅查找字符串与内容文本框中的全字匹配的记录区分大小写 - 仅查找字符串与内容文本框中的精确大写匹配的记录向上搜索 - 从当前位置向上搜索配置搜索选项后即可单击查找以开始搜索当找到第一个相应的记录时搜索会停止再次单击查找以查看更多记录从您的当前位置突出显示的记录开始从上往下搜索日志文件 857 代理服务器在大型 LAN 网络中计算机可通过代理服务器连接到 Internet 如果是这样连接的则需要定义以下设置否则程序将无法自动更新在 ESET File Security 中高级设置树中的两个不同部分提供了代理服务器设置首先可以在高级设置在工具 > 代理服务器下中配置代理服务器设置在此级别指定的代理服务器定义了所有 ESET File Security 的全局代理服务器设置此处的参数将用于需要连接到 Internet 的所有模块要指定此级别的代理服务器设置请打开使用代理服务器开关然后将代理服务器地址和代理服务器的端口号输入到代理服务器字段如果与代理服务器的通信需要验证请打开代理服务器需要验证开关然后在相应字段中输入有效的用户名和密码单击检测以自动检测和填充代理服务器设置将复制在 Internet Explorer 中指定的参数注意此功能不检索验证数据用户名和密码它必须由您提供还可以在高级更新设置中建立代理服务器设置通过从代理模式下拉菜单选择通过代理服务器连接来选择高级设置 > 更新 > HTTP 代理此设置适用于给定更新配置文件并建议笔记本电脑用户使用因为他们经常从不同位置接收病毒库更新有关此设置的详细信息请参阅高级更新设置部分 118

119 858 电子邮件通知如果发生具有所选级别的事件 ESET File Security 可以自动发送通知电子邮件启用通过电子邮件发送事件通知以激活电子邮件通知注意 ESET File Security 支持采用 TLS 加密的 SMTP 服务器 SMTP 服务器用于发送通知的 SMTP 服务器用户名和密码如果 SMTP 服务器需要验证则需在字段中填写有效的用户名和密码这样才能访问 SMTP 服务器发件人地址 - 输入发件人地址该地址将在通知电子邮件的标题中显示收件人将该地址视为发件人地址收件人地址指定收件人电子邮件地址将向收件人传递通知通知的最低级别 - 指定要发送的通知的最低级别启用 TLS - 允许 TLS 加密支持的警报和通知邮件在此间隔后将发送新的通知电子邮件分钟 - 在此间隔以分钟为单位后将通过电子邮件发送新的通知如果要立即发送这些通知则将该值设置为在单独的电子邮件中发送每个通知 - 启用后收件人将收到有关每个单独通知的新电子邮件这可能导致在短时间内收到大量的电子邮件邮件格式事件邮件的格式 - 显示在远程计算机上的事件邮件的格式另请参阅编辑格式威胁警告邮件的格式 - 威胁警报和通知邮件具有预定义的默认格式我们建议您不要更改该格式不过在某些情况下例如如果有自动电子邮件处理系统可能需要更改邮件格式另请参阅编辑格式使用本地字母字符基于 Windows 区域设置例如 Windows-1250 将电子邮件转换为 ANSI 字符编码如果保留此选项未选中将转换邮件并以 ACSII 7 位编码例如 á 将更改为 a 未知符号改为使用本地字符编码电子邮件源将编码为使用 ASCII 字符的引用可打印 QP) 格式可通过８位格式电子邮件正确传输特殊国家字符 áéíóú) 8581 邮件格式程序和远程用户或系统管理员之间的通信通过电子邮件或 LAN 消息使用 Windows 消息服务来进行多数情况下警报消息和通知的默认格式是最适用的而在某些情况下可能需要更改事件邮件的格式在邮件中关键字用符号隔开的字符串由指定的实际信息替换可用关键字包括 %TimeStamp% - 事件的日期和时间 %Scanner% - 相关模块 %ComputerName% - 发生警报的计算机的名称 %ProgramName% - 产生警报的程序 %InfectedObject% - 被感染文件邮件等的名称 %VirusName% - 感染标识 %ErrorDescription% - 非病毒事件的说明关键字 %InfectedObject% 和 %VirusName% 仅用于威胁警告邮件而 %ErrorDescription% 仅用于事件邮件 859 演示模式演示模式是为那些需要不中断其使用软件不希望被弹出窗口打扰并希望尽量减少 CPU 使用的用户提供的功能演示模式还可以用于不能被病毒防护活动中断的演示启用时将禁用所有弹出窗口并且不会运行计划任务系统保护仍在后台运行但是不需要任何用户交互依次单击设置 > 计算机然后单击演示模式旁边的开关以手动启用演示模式在高级设置 (F5) 中依次单击工具 > 演示模式然后单击全屏模式运行应用程序时自动启用演示模式旁边的开关以在运行全屏应用程序时使 ESET File Security 自动处于演示模式启用演示模式将存在潜在安全风险因此任务栏上的防护状态将变成橙色并显示警告您还将在主程序窗口中看到此警告其中您将看到橙色的已启用演示模式执行以全屏模式运行应用程序时自动启用演示模式时演示模式将在启动全屏应用程序时启动并在退出该 119

应用程序后自动停止这对于在启动游戏打开全屏应用程序或开始播放演示文稿后立即启动演示模式尤为有用您还可以选择自动禁用演示模式时间以定义将在多久后以分钟为单位自动禁用演示模式 8510 诊断诊断提供 ESET 进程比如 ekrn 的应用程序崩溃转储如果应用程序崩溃将生成一个转储这能够帮助开发人员调试和修复各种 ESET File Security 问题

120 应用程序后自动停止这对于在启动游戏打开全屏应用程序或开始播放演示文稿后立即启动演示模式尤为有用您还可以选择自动禁用演示模式时间以定义将在多久后以分钟为单位自动禁用演示模式 8510 诊断诊断提供 ESET 进程比如 ekrn 的应用程序崩溃转储如果应用程序崩溃将生成一个转储这能够帮助开发人员调试和修复各种 ESET File Security 问题单击转储类型旁的下拉菜单并选择以下三个可用选项之一选择禁用默认以禁用此功能小型 - 记录可能有助于识别应用程序意外崩溃原因的最小有用信息集此类转储文件在空间有限时有用然而因为所包含的信息有限分析此文件可能无法找到不是由出现问题时正在运行的线程直接导致的错误完整 - 当应用程序意外停止时记录系统内存的所有内容完整的内存转储可能包含在收集内存转储时正在运行进程的数据目标目录 - 在崩溃期间将生成转储的目录打开诊断文件夹 - 单击打开以在新的 Windows 资源管理器窗口中打开此目录 8511 客户服务提交系统配置数据 - 从下拉菜单中选择总是提交或选择提交前询问以在提交数据前进行提示 8512 群集配置 ESET 群集时启用群集将自动启用您可以通过单击开关图标在高级设置窗口中禁用它当您需要在不影响 ESET 群集中其他节点的情况下更改配置时这是适合的操作此开关仅启用或禁用 ESET 群集功能若要正确地设置或销毁群集需要使用群集向导或销毁位于主程序窗口的工具>群集部分中的群集未配置和禁用的 ESET 群集 120

121 已使用其详细信息和选项正确配置的 ESET 群集有关 ESET 群集的详细信息请单击此处 86 用户界面用户界面允许您配置程序的图形用户界面 GUI) 行为您可以调整程序的视觉外观和效果为提供您的安全软件的最大安全性您可以使用访问设置工具来阻止所有未经授权的更改通过配置警报和通知您可以更改检测到的威胁警报和系统通知的行为可自定义这些设置以满足您的需求如果您选择不显示某些通知它们将显示在已禁用消息和状态区域中您可以在此处检查它们的状态显示更多详细信息或将它们从此窗口中删除右键单击选定对象后将显示右键菜单集成使用此工具将 ESET File Security 控件元素集成到右键菜单中演示模式对于以下用户来说非常有用他们希望在不受弹出窗口计划任务和任何可能对系统资源造成压力的组件的影响下使用应用程序用户界面元素 ESET File Security 中的用户界面配置选项允许您调整工作环境以符合您的需要可以从 ESET File Security 高级设置树的用户界面 > 用户界面元素分支访问这些配置选项在用户界面元素部分中您可以调整工作环境如果图形元素降低计算机性能或导致其他问题应将用户界面设置为终端您可能还希望关闭终端服务器上的 GUI 有关安装在终端服务器上的 ESET File Security 的详细信息请参阅禁用终端服务器上的 GUI 主题单击启动模式下拉菜单从以下启动模式中进行选择完整 - 将显示完整 GUI 终端 - 将不显示任何通知或警报只能由管理员启动 GUI 121

122 如果希望停用 ESET File Security 初始屏幕则取消选择启动时显示初始屏幕若要使 ESET File Security 在扫描期间发生重要事件时例如在发现威胁时或已完成扫描时发出声音请选中使用声音信号集成到右键菜单 - 将 ESET File Security 控件元素集成到右键菜单中状态 - 单击编辑以管理启用或禁用主菜单的监视窗格中显示的状态应用程序状态 - 允许您在主菜单的保护状态窗格中启用或禁用显示状态许可证信息 - 启用此许可证信息邮件和通知即可支持此选项 861 警报和通知警报和通知部分在用户界面下允许您配置如何由 ESET File Security 处理威胁警报和系统通知比如成功更新消息您还可以设置显示时间和系统托盘通知透明度这仅适用于支持系统托盘通知的系统警报窗口禁用显示警报将取消所有警报窗口这只适用于少数特定情况对于大多数用户我们建议保留该选项的默认设置启用桌面通知桌面通知和气球提示仅作为信息提示方式并且不需要用户交互它们显示在屏幕右下角的通知区域要启用桌面通知请选择在桌面上显示通知可通过以下方式修改通知显示时间和窗口透明度等更多详细选项打开在全屏模式下运行应用程序时不显示通知开关以阻止所有非交互通知您可以通过要显示事件的最低级别下拉菜单选择要显示的警报和通知的严重性级别提供以下选项诊断 - 记录微调程序所需的信息和以上所有记录信息性 - 记录包括成功更新消息及以上所有记录在内的信息性消息警告 - 记录严重错误和警告消息错误 - 将记录类似下载文件时出错等错误和严重错误严重 - 仅记录严重错误启动病毒防护时出错等此部分的最后一项功能允许您在多用户环境中配置通知目标对于多用户系统在以下用户的屏幕上显示通知字段在允许多个用户同时连接的系统上指定一个接收系统和其他通知的用户正常情况下应该是系统或网络管理员假如所有系统通知都发给管理员该选项对终端服务器特别有用消息框若要在一段时间后自动关闭弹出窗口请选择自动关闭消息框如果未手动关闭警报窗口会在超过指定时限后自动关闭 862 访问设置为最大限度地保障系统安全必须正确配置 ESET File Security 任何未经授权的更改都可能导致重要数据的丢失要避免未经授权的更改可用密码保护 ESET File Security 的设置参数用于密码保护的配置设置位于高级设置树中用户界面下的访问设置子菜单中密码保护设置 - 锁定解锁程序的设置参数单击以打开密码设置窗口要设置或更改密码以保护设置参数请单击设置密码受限的管理员帐户需要完全的管理员权限 - 选中此选项可在修改某些系统参数类似于 Windows Vista 中的 UAC 时提示当前用户如果他或她没有管理员权限输入管理员用户名和密码修改包括禁用保护模块 122

123 8621 密码要避免未经授权的更改可用密码保护 ESET File Security 的设置参数 8622 密码设置若要保护 ESET File Security 的设置参数以避免发生未经授权的修改则必须设置新密码如果希望更改现有的密码则可以在旧密码字段中键入旧密码并在新密码和确认密码字段中输入新密码然后单击确定将来对 ESET File Security 的任何修改将需要该密码 863 帮助当您按 F1 键或单击? 按钮时将打开一个联机帮助窗口这是帮助内容的主要来源但是还有与程序一起安装的帮助的脱机副本脱机帮助在诸如未连接到 Internet 等情况下会打开当您有正常的 Internet 连接时将自动显示联机帮助的最新版本 864 E S E T S he ll 您可以使用 eshell 通过更改 ESET Shell 执行策略配置对产品设置功能和数据的访问权限默认设置为受限脚本但如果需要您可以将其更改为已禁用只读或完全访问已禁用 - eshell 完全不能使用仅允许使用 eshell 本身的配置在ui 的外观但无法访问产品设置或数据 eshell 上下文中您可以自定义 eshell 只读 - eshell 可以用作监视工具您可以在交互模式和批处理模式下查看所有设置但您无法修改任何设置或功能或者修改任何数据受限脚本 - 在交互模式下您可以查看和修改所有设置功能和数据在批处理模式下 eshell 的工作方式与在只读模式下相同但是如果使用已签名的批处理文件您将能够编辑设置和修改数据完全访问 - 在交互模式和批处理模式下对所有设置的访问都不受限制您可以查看和修改任何设置您必须使用管理员帐户才能通过完全访问权限运行 eshell 如果 UAC 已启用还需要使用提升权限 865 在终端服务器上禁用 GU I 本章介绍如何为用户会话禁用运行在 Windows 终端服务器上的 ESET File Security 的 GUI 通常 ESET File Security GUI 在每次远程用户登录到服务器时启动并创建终端会话这在终端服务器上通常不需要如果希望关闭终端会话的 GUI 您可以使用 eshell 通过运行setui ui gui-start-mode terminal 命令实现该目的这会将 GUI 置于终端模式 GUI 启动有两种可用模式 set ui ui gui-start-mode full set ui ui gui-start-mode terminal 如果希望了解当前所使用的模式请运行 get ui ui gui-start-mode 命令注意如果您已在 Citrix 服务器上安装 ESET File Security 建议使用 KB 文章中所述的设置 866 已禁用消息和状态确认消息 - 向您显示确认消息列表您可以从中选择是否显示确认消息已禁用应用程序状态 - 允许您在主菜单的保护状态窗格中启用或禁用显示状态 123

8661 确认消息该对话窗口将显示在执行任何操作之前 ESET File Security 显示的确认消息选中或取消选中每条确认消息旁的复选框以启用或禁用它 8662 已禁用应用程序状态在此对话窗口中您可以选择或取消选择要显示或不要显示的应用程序状态例如暂停病毒和间谍软件防护或者启用演示模式的情况如果您的产品未激活或者许可证已到期也将显示应用程序状态

124 8661 确认消息该对话窗口将显示在执行任何操作之前 ESET File Security 显示的确认消息选中或取消选中每条确认消息旁的复选框以启用或禁用它 8662 已禁用应用程序状态在此对话窗口中您可以选择或取消选择要显示或不要显示的应用程序状态例如暂停病毒和间谍软件防护或者启用演示模式的情况如果您的产品未激活或者许可证已到期也将显示应用程序状态 867 系统托盘图标可通过右键单击系统托盘图标使用一些最重要的设置选项和功能暂停防护 - 显示禁用病毒和间谍软件防护的确认对话框这些防护通过控制文件 Web 和电子邮件通信来保护系统免受攻击时间间隔下拉菜单表示将为其禁用病毒和间谍软件防护的时段高级设置 - 选择此项以进入高级设置树您还可以通过按 F5 键或导航到设置 > 高级设置来访问高级设置日志文件 - 日志文件包含所有已发生的重要程序事件的信息并提供检测到的威胁的概要信息隐藏 ESET File Security - 从屏幕中隐藏 ESET File Security 窗口重置窗口布局 - 将 ESET File Security 窗口重置为其默认大小和屏幕位置病毒库更新 - 开始更新病毒库以确保您对恶意代码的防护级别关于 - 提供系统信息有关已安装的 ESET File Security 版本以及安装的程序模块的详细信息以及您的许可证到期日期有关您的操作系统和系统资源的信息可以在页面底部找到 8671 暂停防护每当您使用系统托盘图标暂时禁用病毒和间谍软件防护时暂时禁用防护对话框都会出现这将在选定时段内禁用与恶意软件相关的防护若要永久禁用防护则必须使用高级设置请谨慎使用此选项因为禁用保护可能会使系统暴露在威胁之下 124

125 868 右键菜单右键单击对象文件后就会显示右键菜单该菜单将列出您可以在对象上执行的所有操作可以将 ESET File Security 控件元素集成到右键菜单中此功能的设置选项在用户界面 > 用户界面元素下的高级设置树中提供集成到右键菜单 - 将 ESET File Security 控件元素集成到右键菜单中 87 恢复此部分中的所有设置将模块设置恢复为 ESET 定义的默认设置请注意单击恢复为默认值后已做的所有更改都将丢失恢复表格内容 - 当启用时已手动或自动添加的规则任务或配置文件将丢失 125

126 88 恢复为默认设置对于所有模块所有程序设置将重置为其在全新安装后会具有的状态 89 计划任务计划任务位于 ESET File Security 主菜单中的工具下计划任务包含所有计划任务和配置属性的列表如预定义的日期时间和使用的扫描配置文件 126

127 默认情况下计划任务中显示以下计划任务日志维护定期自动更新拨号连接后自动更新用户登录后自动更新自动启动文件检查用户登录后自动启动文件检查成功更新病毒库后自动开始首次扫描要编辑现有计划任务包括默认和用户定义的的配置请右键单击任务然后单击编辑或选择要修改的任务然后单击编辑按钮 891 任务详细信息输入任务的名称并选定一个任务类型选项然后单击下一步运行外部应用程序 - 计划外部应用程序的执行日志维护 - 日志文件中仍会包含已删除记录的残余信息此任务定期优化日志文件中的记录以提高工作效率系统启动文件检查 - 检查在系统启动或登录时允许运行的文件创建计算机状态快照 - 创建 ESET SysInspector 计算机快照收集有关系统组件的详细信息例如驱动程序应用程序并评估每个组件的风险级别手动计算机扫描 - 执行计算机上文件和文件夹的计算机扫描首次扫描 - 默认情况下在安装完成或重新启动２分钟后将作为低优先级任务执行计算机扫描更新 - 通过更新病毒库和程序模块计划更新任务如果要激活任务您可以之后通过选中取消选中计划任务列表中的复选框来执行此操作请打开已启用开关单击下一步然后选择以下计时选项之一一次重复每天每周和由事件触发将根据选定的频率为您提供不同的更新参数当计算机靠电池供电或断电时可以跳过任务下一步定义无法在计划时间执行或完成任务时要采取的操作在下一步中显示有关当前计划任务信息的摘要窗口完成更改后请单击完成 892 任务计时一次任务执行指定的任务仅在指定的日期和时间运行一次 893 任务计时任务将以指定的时间间隔重复执行选择以下计时选项之一一次 - 任务将仅在预定义的日期和时间执行一次重复 - 任务将以指定的时间间隔以小时为单位执行每天 - 任务将在每天指定时间运行每周 - 任务每周在选定的某天和某个时间运行一次或多次由事件触发 - 任务将在指定事件后执行靠电池供电时跳过任务 - 如果在任务应该启动时您的计算机正靠电池供电则任务将不会启动这也适用于依赖 UPS 运行的计算机 127

128 894 任务计时每天任务将在每天指定时间重复运行 895 任务计时每周任务将在所选日期和时间运行 896 任务计时由事件触发任务可能由以下任一事件触发每次计算机启动每天计算机第一次启动时拨号连接至 Internet/VPN 成功更新病毒库成功更新程序组件用户登录威胁检测计划由事件触发任务时可以指定两次任务完成之间的最小间隔例如如果您每天多次登录计算机可以选择 24 小时这样仅在当天首次登录时执行任务然后在第二天再执行任务 897 任务详细信息运行应用程序使用此任务可计划外部应用程序的执行可执行文件 - 从目录树中选择可执行文件单击选项或手动输入路径工作文件夹 - 定义外部应用程序的工作目录选定可执行文件的所有临时文件将在此目录中创建参数 - 应用程序的命令行参数可选单击完成以应用此任务 898 跳过的任务如果任务无法在预定义的时间运行可以指定其执行时间在下一个计划时间 - 任务将在指定时间执行如２４小时后尽快 - 任务将尽快执行当阻止任务执行的操作不再有效时如果自上次运行时间之后经过的时间超过指定值则立即跳过任务 - 自上次运行时间之后经过的时间 (小时 - 选择了此选项后任务将在指定时间间隔小时后始终重复执行 899 计划任务详细信息当您双击自定义任务或者右键单击自定义计划任务并单击显示任务详细信息时该对话窗口将显示有关所选计划任务的详细信息 8910 更新配置文件如果您希望从两个更新服务器更新程序则有必要创建两个不同的更新配置文件如果第一个更新配置文件无法下载更新文件则程序会自动切换到备用更新配置文件这适用于一般从本地局域网更新服务器进行更新但其所有者经常通过其他网络连接到 Internet 的设备例如笔记本电脑因此如果第一个配置文件出现故障第二个配置文件将从 ESET 的更新服务器上自动下载更新文件在更新一章中您可以找到有关更新配置文件的更多信息 128

129 8911 创建新任务要在计划任务中创建新任务请单击添加任务按钮或右键单击并从右键菜单中选择添加共有５种类型的计划任务运行外部应用程序 - 计划外部应用程序的执行日志维护 - 日志文件中仍会包含已删除记录的残余信息此任务定期优化日志文件中的记录以提高工作效率系统启动文件检查 - 检查在系统启动或登录时允许运行的文件创建计算机状态快照 - 创建 ESET SysInspector 计算机快照收集有关系统组件的详细信息例如驱动程序应用程序并评估每个组件的风险级别手动计算机扫描 - 执行计算机上文件和文件夹的计算机扫描首次扫描 - 默认情况下在安装完成或重新启动２分钟后将作为低优先级任务执行计算机扫描更新 - 通过更新病毒库和程序模块计划更新任务因为更新是最常用的计划任务之一所以我们将解释如何添加新的更新任务将任务的名称输入到任务名称字段中从任务类型下拉菜单中选择更新然后单击下一步如果要激活任务您可以之后通过选中取消选中计划任务列表中的复选框来执行此操作请打开启用开关单击下一步然后选择其中一个计时选项一次重复每天每周和由事件触发将根据选定的频率为您提供不同的更新参数然后定义无法在计划时间执行或完成任务时要采取的操作有以下三个选项可用在下一个计划时间尽快如果自上次运行时间之后经过的时间超过指定值则立即跳过任务可使用自上次运行时间之后经过的时间滚动框来定义间隔在下一步中显示有关当前计划任务信息的摘要窗口完成更改后请单击完成将显示一个对话窗口允许您选择用于计划任务的配置文件您可以在此设置主要和替代配置文件如果任务不能用主要配置文件来完成则使用替代配置文件单击完成以进行确认新计划任务将添加到计划任务列表中 129

810 隔离隔离区的主要功能是安全储存被感染文件隔离文件的前提是文件出现以下情况无法清除不安全或被建议删除或被 ESET File Security 错误检测您可以选择隔离任何文件如果文件行为可疑但未被病毒防护扫描程序检测到建议采取隔离措施可将隔离的文件提交到 ESET 病毒实验室进行分析可在表格中查看储存在隔离区文件夹中的文件表格中显示隔离的日期和时间

130 810 隔离隔离区的主要功能是安全储存被感染文件隔离文件的前提是文件出现以下情况无法清除不安全或被建议删除或被 ESET File Security 错误检测您可以选择隔离任何文件如果文件行为可疑但未被病毒防护扫描程序检测到建议采取隔离措施可将隔离的文件提交到 ESET 病毒实验室进行分析可在表格中查看储存在隔离区文件夹中的文件表格中显示隔离的日期和时间被感染文件原始位置的路径文件大小字节数原因例如由用户添加的对象以及威胁数量例如是否为包含多个渗透的压缩文件等隔离文件 ESET File Security 自动隔离被删除的文件如果您尚未在警报窗口中禁用该选项如果需要您可以手动隔离任何可疑文件方法是单击隔离隔离的文件将从其初始位置删除也可使用右键菜单达到此目的在隔离区窗口中右键单击然后选择隔离从隔离区恢复隔离的文件还可以恢复到其初始位置可通过在隔离窗口中右键单击给定文件使用右键菜单中提供的恢复功能来执行此操作如果文件被标记为潜在的不受欢迎应用程序则恢复并且不扫描选项也将可用请阅读词汇表中有关此类应用程序的详细信息右键菜单还提供恢复至选项使用此选项可将文件恢复到其被删除时所在位置之外的其他位置注意如果程序错误地隔离了无害文件请在文件恢复后将其移出扫描队列并发送给 ESET 客户服务部门 130

展开

I

机电一级注册建造师继续教育培训广东培训点网上报名操作使用手册 (2013 年 1 月, 第一版 ) 第一章个人注册与个人信息管理 1. 个人注册 ( 请每人只申请一个注册号, 如果单位批量报班单位帮申请注册, 不需个人再注册 ) 首次报班,