WWW.LIBRUS.DOBROTA.BIZ
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - собрание публикаций
 

Pages:   || 2 |

«ДЛЯ MICROSOFT EXCHANGESERVER Инструкция по установке и руководство пользователя Microsoft® Windows® Server 2000 / 2003 / 2008 / 2008 R2 Щелкните здесь, чтобы загрузить актуальную версию этого ...»

-- [ Страница 1 ] --

ESET MAILSECURITY

ДЛЯ MICROSOFT EXCHANGESERVER

Инструкция по установке и руководство пользователя

Microsoft® Windows® Server 2000 / 2003 / 2008 / 2008 R2

Щелкните здесь, чтобы загрузить актуальную версию этого документа

ESET MAIL SECURITY

©ESET, spol. s r.o., 2012

Программный продукт ESET Mail Security разработан

компанией ESET, spol. s r.o. .

Дополнительные сведения см. на веб-сайте www.eset.com .

Все права защищены. Запрещается воспроизведение, сохранение в информационных системах и передача данного документа или любой его части в любой форме и любыми средствами, в том числе электронными, механическими способами, посредством фотокопирования, записи, сканирования, а также любыми другими способами без соответствующего письменного разрешения автора .

ESET, spol. s r.o. оставляет за собой право изменять любые программные продукты, описанные в данной документации, без предварительного уведомления .

Международная служба поддержки клиентов: www.eset.eu/support Служба поддержки клиентов в Северной Америке: www.eset.com/ support Версия 1/9/2012 Содержание 3.3.3 Предупреждения и уведомления

1. Введение

1.1 Новые возможности в версии 4.3

Mail Security — защита сервера

1.2 Системные требования

4.1 Защита от вирусов и шпионских программ

1.3 Используемые методы

4.1.1 Защита в режиме реального времени

5. Глоссарий

5.1 Типы заражений

5.1.1 Вирусы

5.1.2 Черви

5.1.3 Троянские программы

5.1.4 Руткиты

5.1.5 Рекламные программы

5.1.6 Шпионские программы

5.1.7 Потенциально опасное ПО

5.1.8 Потенциально нежелательное ПО

5.2 Электронная почта

5.2.1 Рекламные объявления

5.2.2 Мистификации

5.2.3 Фишинг

5.2.4 Распознавание мошеннических сообщений

5.2.4.1 Правила

5.2.4.2 Байесовский фильтр

5.2.4.3 «Белый» список

5.2.4.4 «Черный» список

5.2.4.5 Контроль на стороне сервера

1. Введение ESET Mail Security 4 для Microsoft Exchange Server — это интегрированное решение, которое защищает почтовые ящики от различных типов вредоносных программ, в том числе вложений в сообщения электронной почты, зараженных червями и троянскими программами, документов, в которых содержатся вредоносные сценарии, фишинга и спама. ESET Mail Security обеспечивает три типа защиты: защита от вирусов, защита от спама и применение пользовательских правил. ESET Mail Security фильтрует вредоносное содержимое на уровне почтового сервера, прежде чем оно попадет в папку «Входящие»

почтового клиента получателя .

ESET Mail Security поддерживает Microsoft Exchange Server версий 5.5 и более поздних, а также Microsoft Exchange Server в кластерной среде. В более новых версиях (Microsoft Exchange Server 2007 и более поздние версии) также поддерживаются конкретные роли (почтовый ящик, концентратор, пограничный сервер) .

Можно удаленно управлять ESET Mail Security в больших сетях с помощью ESET Remote Administrator .

Обеспечивая защиту Microsoft Exchange Server, ESET Mail Security также имеет в своем составе служебные программы для обеспечения защиты самого сервера (резидентная защита, защита доступа в Интернет, защита почтового клиента и защита от спама) .





1.1 Новые возможности в версии 4.3 По сравнению с версией ESET Mail Security 4.2 в версии 4.3 были добавлены следующие нововведения и усовершенствования .

Добавлены новые журналы для модуля защиты от спама и работы с «серыми» списками, в которых приводится подробная информация о сообщениях, обработанных соответствующим модулем. В журнале защиты от спама также подробно указываются причины, по которым сообщения были классифицированы как СПАМ .

Автоматические исключения улучшают общую стабильность и непрерывность работы сервера. Теперь достаточно одного щелчка мыши, чтобы задать целые комплекты исключений из сканирования защитой от вирусов для конкретных серверных приложений и файлов операционной системы .

Классификация сообщений по значению оценки нежелательности. Теперь администраторы могут указывать собственные диапазоны оценки нежелательности, которые будут определять, какие именно сообщения будут классифицироваться как спам, для точной настройки фильтрации защиты от спама .

Объединение лицензий. ESET Mail Security позволяет использовать несколько лицензий, тем самым увеличивая количество защищаемых почтовых ящиков .

1.2 Системные требования Поддерживаемые операционные системы Microsoft Windows NT 4.0 с пакетом обновления SP6, SP6a Microsoft Windows 2000 Server Microsoft Windows Server 2003 (x86 и x64) Microsoft Windows Server 2008 (x86 и x64) Microsoft Windows Server 2008 R2 Microsoft Windows Small Business Server 2003 (x86) Microsoft Windows Small Business Server 2003 R2 (x86) Microsoft Windows Small Business Server 2008 (x64) Microsoft Windows Small Business Server 2011 (x64)

Поддерживаемые версии Microsoft Exchange Server

Microsoft Exchange Server 5.5 с пакетом обновления SP3, SP4 Microsoft Exchange Server 2000 с пакетом обновления SP1, SP2, SP3 Microsoft Exchange Server 2003 с пакетом обновления SP1, SP2 Microsoft Exchange Server 2007 с пакетом обновления SP1, SP2, SP3 Microsoft Exchange Server 2010 с пакетом обновления SP1, SP2 Требования к оборудованию зависят от используемых версий операционной системы и Microsoft Exchange Server. Рекомендуется ознакомиться с документацией на Microsoft Exchange Server для получения дополнительных сведений о требованиях к оборудованию .

1.3 Используемые методы Для сканирования сообщений электронной почты используется два независимых метода .

Сканирование почтовых ящиков с помощью VSAPI 6 Фильтрация сообщений на уровне SMTP-сервера 7 1.3.1 Сканирование почтовых ящиков с помощью VSAPI Процесс сканирования почтовых ящиков запускается и контролируется Microsoft Exchange Server .

Сообщения в базе данных хранилища Microsoft Exchange Server сканируются непрерывно. В зависимости от версии Microsoft Exchange Server, версии интерфейса VSAPI и пользовательских параметров процесс сканирования можно запустить в любой из следующих ситуаций .

Пользователь открывает электронную почту, например в почтовом клиенте (электронная почта всегда сканируется с применением последней базы данных сигнатур вирусов) .

В фоновом режиме, когда ресурсы Microsoft Exchange Server используются в малых количествах .

Упреждающим образом (на основе внутреннего алгоритма Microsoft Exchange Server) .

В настоящий момент интерфейс VSAPI используются для сканирования модулем защиты от вирусов и защиты на основе правил .

1.3.2 Фильтрация сообщений на уровне SMTP-сервера Фильтрация на уровне SMTP-сервера осуществляется специализированным подключаемым модулем. В Microsoft Exchange Server 2000 и 2003 этот подключаемый модуль (Приемник событий) регистрируется на SMTP-сервере в составе служб IIS. В Microsoft Exchange Server 2007/2010 этот подключаемый модуль регистрируется в качестве агента транспорта на ролях пограничный сервер или концентратор Microsoft Exchange Server .

Фильтрация на уровне SMTP-сервера агентом транспорта обеспечивает защиту в форме защиты от вирусов, защиты от спама и пользовательских правил. В отличие от фильтрации посредством VSAPI фильтрация на уровне SMTP-сервера выполняется до того, как просканированное сообщение электронной почты попадает в почтовый ящик Microsoft Exchange Server .

1.4 Типы защитыСуществует три типа защиты .

1.4.1 Защита от вирусов Защита от вирусов — одна из основных функций программного продукта ESET Mail Security. Защита от вирусов предотвращает вредоносные атаки на компьютер путем контроля файлов, электронной почты и связи через Интернет. Если обнаруживается угроза, представляемая злонамеренным кодом, модуль защиты от вирусов может устранить ее, сначала заблокировав, а затем очистив, удалив или поместив на карантин 82 .

1.4.2 Защита от спама Для защиты от спама используется ряд технологий («черные» списки реального времени, DNSBL, идентификация крупных объемов данных по их фрагментам, проверка репутации, анализ содержимого, байесовский фильтр, правила, работа с «белыми» и «черными» списками вручную и т. д.) для обеспечения максимально качественного обнаружения угроз в электронной почте. Модуль сканирования защиты от спама формирует значение вероятности спама для конкретного сообщения электронной почты в процентах (от 0 до 100) .

Другим компонентом модуля защиты от спама является метод работы с «серыми» списками (отключен по умолчанию). Данный метод основан на спецификации RFC 821, в которой говорится о том, что в связи с тем, что SMTP считается ненадежным методом передачи, каждый агент передачи сообщений должен повторно пытаться доставить сообщение после временного сбоя доставки. Большая часть спама представляет собой однократно отправляемые сообщения (с помощью специализированных средств) по автоматически созданному списку адресов электронной почты. Сервер, применяющий работу с «серыми» списками, вычисляет контрольное значение (хэш) для адреса отправителя конверта, адреса получателя конверта и IPадреса отправляющего агента передачи сообщений. Если сервер не может найти контрольное значение для этих трех параметров в собственной базе данных, он отказывается принимать сообщение и возвращает код временного отказа (например, 451). Нормальный сервер попытается повторно доставить сообщение через некоторое время. Контрольное значение для этих трех параметров будет храниться в базе данных проверенных подключений после второй попытки, благодаря чему впоследствии любое сообщение с соответствующими характеристиками будет доставляться .

1.4.3 Применение пользовательских правил Защита на основе пользовательских правил применяется для сканирования и с помощью VSAPI, и с помощью агента транспорта. Интерфейс пользователя ESET Mail Security позволяет создавать отдельные правила, которые также можно использовать совместно. Если в одном правиле используется несколько условий, такие условия будут объединены логическим оператором AND. Впоследствии правило будет выполняться только тогда, когда выполняются все условия. Если создано несколько правил, будет применен логический оператор OR, то есть программа будет выполнять первое правило, для которого соблюдены все условия .

В последовательности действий по сканированию в качестве первого метода используется работа с «серыми» списками (при условии, что она включена). На последующих этапах всегда будут выполняться следующие методы: защита на основе пользовательских правил, затем сканирование модулем защиты от вирусов и, наконец, сканирование модулем защиты от спама .

1.5 Интерфейс пользователя

ESET Mail Security имеет графический интерфейс пользователя, задача которого заключается в том, чтобы быть настолько интуитивно понятным, насколько возможно. Графический интерфейс пользователя дает возможность быстро и просто использовать основные функции программы .

В дополнение к основному графическому интерфейсу пользователя существует также и дерево расширенных параметров, которое можно открыть с любой страницы программы, нажав клавишу F5 .

После нажатия клавиши F5 открывается окно дерева расширенных параметров, в котором отображается перечень настраиваемых функций программы. В этом окне можно конфигурировать параметры в соответствии со своими потребностями. Древовидная структура разбита на два раздела: Защита сервера и Защита компьютера. В разделе Защита сервера содержатся элементы, относящиеся к тем параметрам ESET Mail Security, которые регулируют защиту сервера Microsoft Exchange Server. В разделе Защита компьютера содержатся настраиваемые элементы для защиты самого сервера .

2. Установка После приобретения ESET Mail Security установочный файл можно загрузить с веб-сайта ESET (www.eset .

com) в виде пакета с расширением.msi. После запуска этого файла мастер установки поможет установить программу. Существует два типа установки, которые отличаются уровнями выбора параметров .

1. Обычная установка

2. Выборочная установка ПРИМЕЧАНИЕ: Настоятельно рекомендуется устанавливать ESET Mail Security в только что установленной и сконфигурированной операционной системе, если это возможно. Однако при возникновении необходимости в установке программного продукта на существующей системе лучше всего удалить предыдущую версию ESET Mail Security, перезапустить сервер и установить ESET Mail Security 4.5 после этого .

2.1 Обычная установка

Режим обычной установки позволяет быстро установить ESET Mail Security, выполнив в процессе установки лишь минимальные изменения конфигурации. Обычная установка — это режим установки по умолчанию;

при отсутствии особых требований не рекомендуется выбирать другой режим. После установки ESET Mail Security на компьютере можно в любой момент изменить параметры и конфигурацию программы. В настоящем руководстве пользователя эти параметры и функциональность описываются подробно Параметры, активируемые в режиме обычной установки, обеспечивают отличный уровень безопасности в сочетании с удобством использования и высокой производительностью компьютера .

После выбора режима установки и нажатия кнопки «Далее» предлагается ввести имя пользователя и пароль. Этот этап играет важную роль в обеспечении постоянной защиты компьютера, так как имя пользователя и пароль делают возможным автоматическое обновление 70 базы данных сигнатур вирусов .

Введите имя пользователя и пароль, полученные после покупки или регистрации программного продукта, в соответствующие поля. Если имени пользователя и пароля пока нет, их можно будет ввести непосредственно в программе позднее .

На следующем этапе, в окне Диспетчер лицензий, добавьте файл лицензии, который получили по электронной почте после покупки программного продукта .

На следующем этапе конфигурируется система своевременного обнаружения ThreatSense.Net. Система своевременного обнаружения ThreatSense.Net предназначена для немедленного непрерывного информирования компании ESET о новых заражениях, что позволяет быстро реагировать и защищать пользователей. Эта система предусматривает отправку новых угроз в лабораторию ESET, где они анализируются, обрабатываются и добавляются в базу данных сигнатур вирусов. По умолчанию флажок Включить систему своевременного обнаружения ThreatSense.Net установлен. Для изменения расширенных параметров отправки подозрительных файлов нажмите Дополнительные настройки... .

Следующим этапом установки является конфигурирование обнаружения потенциально нежелательных приложений. Потенциально нежелательные приложения не обязательно являются вредоносными, но часто негативно влияют на работу операционной системы .

Такие приложения часто поставляются в пакете с другими программами, и их установку бывает трудно заметить при установке всего пакета. Хотя при установке таких приложений обычно на экран выводится уведомление, они вполне могут быть установлены без согласия пользователя .

Рекомендуется выбрать параметр «Включить обнаружение потенциально нежелательного ПО», чтобы разрешить приложению ESET Mail Security выявлять угрозы такого типа. Если использовать эту функцию не следует, установите флажок Выключить обнаружение потенциально нежелательного ПО .

Последним этапом обычной установки является подтверждение установки. Для этого нажмите кнопку Установить .

2.2 Выборочная установка

Выборочная установка предназначена для тех пользователей, которые хотят сконфигурировать программное обеспечение ESET Mail Security в ходе процесса установки .

После выбора режима установки и нажатия кнопки Далее пользователю будет предложено выбрать папку для установки. По умолчанию программа устанавливается в папку C:\Program Files\ESET\ESET Mail Security .

Нажмите кнопку Обзор…, чтобы изменить папку (не рекомендуется) .

Затем заполните поля Имя пользователя и Пароль. Это действие аналогично соответствующему действию в режиме обычной установки (см. Обычная установка 9 ) .

На следующем этапе, в окне Диспетчер лицензий, добавьте файл лицензии, который получили по электронной почте после покупки программного продукта .

После ввода имени пользователя и пароля нажмите кнопку Далее, чтобы перейти к окну Настройте подключение к Интернету .

Если используется прокси сервер, он должен быть корректно сконфигурирован для обеспечения нормальной работы обновления сигнатур вирусов. Если нужно сконфигурировать прокси-сервер автоматически, не меняйте параметр по умолчанию Я не уверен, используется ли прокси-сервер. Я хочу использовать те же параметры, какие использует Internet Explorer (рекомендуется) и нажмите кнопку Далее. Если прокси-сервер не используется, установите флажок Я не использую прокси-сервер .

Если же вы предпочитаете ввести данные прокси-сервера самостоятельно, его параметры можно сконфигурировать вручную. Для конфигурирования параметров прокси-сервера выберите вариант Я использую прокси-сервер и нажмите кнопку Далее. Введите IP-адрес или URL-адрес прокси-сервера в поле Адрес. В поле Порт укажите порт, по которому этот прокси-сервер принимает запросы на соединение (по умолчанию 3128). Если прокси-сервер требует аутентификации, введите правильные имя пользователя и пароль для доступа к нему. Параметры прокси-сервера также по желанию могут быть скопированы из параметров Internet Explorer. После ввода сведений прокси-сервера нажмите кнопку Применить и подтвердите свой выбор .

Нажмите Далее, чтобы перейти к окну Настроить параметры автоматического обновления. На этом этапе можно задать, как в системе будет обрабатываться автоматическое обновление компонентов программы. Нажмите Изменить... для доступа к расширенным параметрам .

Если нет необходимости обновлять компоненты программы, выберите вариант Никогда не обновлять компоненты программы. Установите флажок Запросить подтверждение перед загрузкой компонентов, чтобы перед загрузкой компонентов программы на экран выводилось окно подтверждения. Для автоматической загрузки обновлений компонентов программы выберите вариант Выполнять обновление компонентов программы, если доступно .

ПРИМЕЧАНИЕ: После обновления программных компонентов обычно нужно перезагрузить компьютер .

Рекомендуется выбрать вариант Никогда не перезапускать компьютер. Полученные обновления компонентов будут активированы после следующего перезапуска сервера (вне зависимости от того, выполняется ли такой перезапуск по расписанию 80, вручную или как-либо иначе). Можно выбрать вариант Предложить перезапуск компьютера, если необходимо, если нужно, чтобы предлагалось перезапустить сервер после обновления компонентов. Если выбран этот параметр, то можно перезапустить сервер сразу же или отложить перезапуск и выполнить его позднее .

В следующем окне предлагается создать пароль для защиты параметров программы. Установите флажок Защита параметров конфигурации паролем и введите пароль в поля Новый пароль и Подтвердить новый пароль .

Следующие два этапа установки (Система своевременного обнаружения ThreatSense.Net и Обнаружение потенциально нежелательных приложений) совпадают с этапами режима обычной установки (см. раздел Обычная установка 9 ) .

Нажмите Установить в окне Все готово к установке, чтобы завершить процесс установки .

2.3 Сервер терминалов

Если программное обеспечение ESET Mail Security установлено на сервере Windows Server, который выступает в качестве сервера терминалов, полезно будет отключить графический интерфейс пользователя ESET Mail Security, чтобы предотвратить запуск программы при каждом входе пользователя в систему .

Конкретные инструкции по отключению приводятся в главе Отключение графического интерфейса пользователя на сервере терминалов 106 .

2.4 Обновление до новой версии Более новые версии ESET Mail Security выпускаются для реализации улучшений или исправления проблем, которые не могут быть устранены автоматическим обновлением модулей программы. Обновление до новой версии можно выполнить одним из нескольких способов .

1. Автоматическое обновление путем обновления компонентов программы Поскольку обновления компонентов программы распространяются среди всех пользователей и могут повлиять на некоторые конфигурации компьютеров, они выпускаются только после длительного тестирования с целью обеспечения бесперебойного процесса обновления на всех возможных конфигурациях. Если нужно выполнить обновление до более новой версии сразу после ее выхода, нужно воспользоваться одним из описанных далее методов .

2. Обновление вручную путем загрузки и установки новой версии поверх предыдущей установленной В начале процесса установки можно принять решение о сохранении существующих параметров программы. Для этого нужно установить флажок Использовать текущие параметры .

3. Обновление вручную с автоматическим развертыванием в сетевой среде посредством ESET Remote Administrator .

2.5 Установка в кластерной среде Кластер — это группа серверов (подключенный к кластеру сервер называется «узлом»), которые работают вместе как один сервер. Такой тип среды обеспечивает высокую доступность и надежность предоставляемых в ней служб. Если один из узлов кластера отказывает или становится недоступным, его функциональность начинает автоматически выполняться другим узлом кластера. ESET Mail Security обеспечивает полную поддержку серверов Microsoft Exchange Server, объединенных в кластер. Для корректной работы ESET Mail Security важно, чтобы у всех узлов кластера была одинаковая конфигурация .

Этого можно добиться, применив политику с помощью ESET Remote Administrator (ERA). В следующих главах будет описано, как установить и сконфигурировать ESET Mail Security на серверах в кластерной среде, используя ERA .

Установка

В этой главе описывается метод автоматической установки, хотя это и не единственный способ установки программного продукта на нужный компьютер. Для получения сведений о дополнительных методах установки обратитесь к руководству пользователя ESET Remote Administrator .

1) Загрузите установочный пакет ESET Mail Security msi с веб-сайта ESET на тот компьютер, на котором установлено средство ERA. В ERA перейдите на вкладку Удаленная установка и в разделе Компьютеры щелкните правой кнопкой мыши любой компьютер в списке, после чего выберите в контекстном меню пункт Управление пакетами. В раскрывающемся меню Тип выберите Пакет продуктов безопасности ESET и нажмите кнопку Добавить.... В разделе Источник найдите загруженный установочный пакет ESET Mail Security и нажмите кнопку Создать .

2) В разделе Изменение или выбор файла конфигурации для этого пакета нажмите Изменить и сконфигурируйте параметры ESET Mail Security в соответствии со своими требованиями. Параметры ESET Mail Security находятся в следующих ветвях: ESET Smart Security, ESET NOD32 Antivirus Защита почтового сервера и Защита почтового сервера для Microsoft Exchange Server. Также можно задать параметры других модулей, входящих в состав ESET Mail Security (например, модуль обновления, сканирование компьютера и т. д.). Рекомендуется экспортировать сконфигурированные параметры в файл в формате XML, который вы сможете использовать в дальнейшем (например, при создании установочного пакета, применении задачи конфигурации или политики) .

3) Нажмите кнопку Закрыть. В следующем диалоговом окне (Сохранить пакет на сервере?) выберите ответ Да и введите имя установочного пакета. Готовый установочный пакет (с именем и конфигурацией) будет сохранен на сервере. Чаще всего этот пакет используется для автоматической установки, но его также можно и сохранить как стандартный установочный пакет msi и использовать для непосредственной установки на сервере (Редактор пакетов установки Сохранить как...) .

4) Теперь установочный пакет готов, и можно инициировать удаленную установку на узлах в кластере. В ERA перейдите на вкладку Удаленная установка и в разделе Компьютеры выберите узлы, на которые следует установить ESET Mail Security (щелкайте левой кнопкой мыши, удерживая клавишу Ctrl или Shift) .

Правой кнопкой мыши нажмите любой из выбранных компьютеров и выберите пункт контекстного меню Автоматическая установка. С помощью кнопок Задать/Задать все задайте имя пользователя и пароль для учетной записи на целевом компьютере (это должна быть учетная запись с правами администратора) .

Нажмите кнопку Далее, чтобы выбрать установочный пакет, и запустите процесс удаленной установки, нажав кнопку Готово. Установочный пакет, содержащий ESET Mail Security и пользовательские параметры конфигурации, будет установлен на выбранных целевых компьютерах/узлах. Через некоторое время клиенты с ESET Mail Security появятся в ERA на вкладке Клиенты. Теперь можно удаленно управлять этими клиентами .

ПРИМЕЧАНИЕ: Для завершения процесса удаленной установки без каких-либо проблем необходимо, чтобы на целевых компьютерах были выполнены определенные условия, как и на сервере ERA Server. Для получения дополнительных сведений см. руководство пользователя ESET Remote Administrator .

Конфигурация

Для того чтобы программа ESET Mail Security корректно работала на узлах кластера, у узлов всегда должна быть одинаковая конфигурация. Это условие выполнено, если использовался описанный выше метод автоматической установки. Однако есть вероятность того, что конфигурация будет изменена по ошибке, что приведет к несоответствиям между программными продуктами ESET Mail Security в пределах кластера .

Этого можно избежать, используя политику в ERA. Политика по сути очень схожа с обычной задачей конфигурации — она отправляет конфигурацию, определенную в редакторе конфигурации, клиентам .

Отличается же политика от задачи конфигурации тем, что постоянно применяется к клиентам. Поэтому политику можно определить как конфигурацию, которая регулярно принудительно применяется к клиенту или группе клиентов .

В разделе ERA Служебные программы Диспетчер политик... есть ряд параметров, определяющих использование политики. Самым простым является использование варианта Родительская политика по умолчанию, которая также обычно служит в качестве политики по умолчанию для главных клиентов .

Этот вид политики автоматически применяется ко всем подключенным в данный момент клиентам (в данном случае ко всем программным продуктам ESET Mail Security в пределах кластера). Можно сконфигурировать политику, нажав кнопку Изменить..., или использовать существующую конфигурацию, сохраненную в файле xml, если таковая уже была создана .

Вторым вариантом является создание новой политики (Добавить новую дочернюю политику) и использование функции Добавить клиенты..., чтобы назначить все программные продукты ESET Mail Security этой политике .

Такая конфигурация позволяет добиться того, что ко всем клиентам будет применена одна и та же политика с одинаковыми параметрами. Если нужно изменить существующие параметры сервера ESET Mail Security в кластере, достаточно изменить текущую политику. Изменения будут применены ко всем клиентам, назначенным данной политике .

ПРИМЕЧАНИЕ: Подробные сведения о политиках приводятся в руководстве пользователя ESET Remote Administrator .

2.6 Лицензия Очень важным этапом является ввод файла лицензии для ESET Mail Security для Microsoft Exchange Server .

Без этого защита электронной почты на Microsoft Exchange Server будет работать некорректно. Если не добавить файл лицензии в ходе установки, это можно сделать позднее в дополнительных параметрах в разделе Разное Лицензии .

ESET Mail Security позволяет использовать несколько лицензий одновременно путем их объединения, как описано далее .

1) Объединяются две или более лицензий, принадлежащих одному заказчику (т. е. лицензии, присвоенные одному и тому же имени заказчика), в результате чего соответствующим образом увеличивается количество сканируемых почтовых ящиков. В менеджере лицензий по-прежнему будут отображаться обе лицензии .

2) Объединяются две или более лицензий, принадлежащих разным заказчикам. Это происходит точно так же, как и в первом сценарии (пункт 1 выше) с тем отличием, что по меньшей мере у одной из таких лицензий должен быть особый атрибут. Этот атрибут необходим для объединения лицензий разных заказчиков. Если вам нужно использовать именно такую лицензию, обратитесь к своему местному дистрибьютору с просьбой о ее генерации .

ПРИМЕЧАНИЕ. Срок действия вновь созданной лицензии определяется самой ранней из дат окончания срока действия входящих в нее лицензий .

ESET Mail Security для Microsoft Exchange Server (EMSX) сравнивает количество почтовых ящиков для службы Active Directory с имеющимся количеством лицензий. Проверяется служба Active Directory каждого сервера Exchange для определения общего количества почтовых ящиков. Системные почтовые ящики, деактивированные почтовые ящики и псевдонимы электронной почты не учитываются в общем количестве. В кластерной среде узлы с ролью почтового ящика в кластере также не учитываются в общем количестве .

Для определения имеющегося количества почтовых ящиков с поддержкой Exchange откройте на сервере Пользователи и компьютеры Active Directory. Щелкните домен правой кнопкой мыши и выберите Найти.... Затем в раскрывающемся меню Найти выберите пункт Пользовательский поиск и перейдите на вкладку Дополнительно. Вставьте из буфера обмена такой запрос по протоколу LDAP и нажмите кнопку

Найти сейчас:

(&(objectClass=user)(objectCategory=person)(mailNickname=*)(|(homeMDB=*)(msExchHomeServerName=*))(!

(name=SystemMailbox{*))(!(name=CAS_{*))(msExchUserAccountControl=0)(!

userAccountControl:1.2.840.113556.1.4.803:=2)) Если количество почтовых ящиков в службе Active Directory больше количества лицензий, в журнал Microsoft Exchange Server будет добавлено сообщение «Изменилось состояние защиты, так как превышено количество почтовых ящиков (количество), покрываемых вашей лицензией (количество)». ESET Mail Security также уведомит вас, изменив индикатор Состояние защиты на ОРАНЖЕВЫЙ и выведя на экран сообщение о том, что осталось 42 дня до отключения защиты. При получении этого уведомления обратитесь к работающему с вами агенту по продажам, чтобы приобрести дополнительные лицензии .

Если по прошествии 42 дней вы не добавили нужные лицензии на дополнительные почтовые ящики, индикатор Состояние защиты изменит цвет на КРАСНЫЙ. Вы получите сообщение об отключении защиты .

При получении этого уведомления немедленно обратитесь к работающему с вами агенту по продажам, чтобы приобрести дополнительные лицензии .

2.7 Конфигурирование после установки Существует ряд параметров, которые нужно сконфигурировать после установки программного продукта .

Настройка модуля защиты от спама В этом разделе описываются параметры и методы, которые можно использовать для защиты сети от спама .

Рекомендуется внимательно прочесть дальнейшие инструкции, прежде чем выбирать наиболее подходящее для вашей сети сочетание параметров .

Управление спамом Для обеспечения высокого уровня защиты от спама нужно выбрать действия, которые следует применять к сообщениям, уже помеченным как спам .

Доступны три перечисленных ниже варианта .

1. Удаление спама Критерии, по которым сообщения помечаются как спам программой ESET Mail Security, установлены на достаточно высоком уровне, чтобы снизить вероятность удаления нормальных сообщений. Чем более точные параметры защиты от спама используются, тем меньше вероятность удаления нормальных сообщений. Среди преимуществ этого метода можно назвать низкое потребление системных ресурсов и меньший объем работ по администрированию. Недостаток же заключается в том, что при удалении нормального сообщения его нельзя восстановить локально .

2. Карантин

Этот параметр исключает вероятность удаления нормальных сообщений. Сообщения можно восстановить и повторно направить изначальным получателям немедленно. К недостаткам же относятся более высокое потребление системных ресурсов и дополнительное время, необходимое на обслуживание карантина электронной почты. Для направления электронной почты на карантин можно использовать два метода .

A. Внутренний карантин сервера Exchange (применяется к Microsoft Exchange Server 2007/2010)

- Если нужно использовать внутренний карантин сервера, убедитесь в том, что поле Обычный карантин сообщений в правой панели меню дополнительных параметров (в разделе Защита сервера Карантин сообщений) оставлено незаполненным. Также убедитесь в том, что в раскрывающемся меню в нижней части окна выбран вариант Отправить сообщение в карантин системы почтового сервера. Этот метод работает только тогда, когда существует внутренний карантин Exchange. По умолчанию этот внутренний карантин не активируется в Exchange. Если нужно активировать его, следует открыть командную консоль Exchange и ввести следующую команду:

Set-ContentFilterConfig -QuarantineMailbox имя@домен.com (замените имя@домен.com на фактический почтовый ящик, который Microsoft Exchange следует использовать в качестве внутреннего почтового ящика карантина, например карантинexchange@компания.com) B. Пользовательский почтовый ящик карантина

- Если ввести нужный почтовый ящик в поле Обычный карантин сообщений, ESET Mail Security будет перемещать все новые нежелательные сообщения в этот пользовательский почтовый ящик .

Для получения дополнительных сведений о карантине и различных методах см. главу Карантин сообщений 26 .

3. Пересылка спама Спам будет пересылаться получателю. Однако ESET Mail Security заполнит соответствующий заголовок MIME значением вероятности нежелательной почты для каждого сообщения. На основе значения вероятности нежелательной почты интеллектуальным фильтром сообщений сервера Exchange будет выполнено соответствующее действие .

Фильтрация спама

Ядро защиты от спама Для ядра защиты от спама существует три конфигурации: Рекомендуемая, Наиболее точная и Самая быстрая .

Если не нужно оптимизировать конфигурацию для обеспечения максимальной пропускной способности (например, при высокой нагрузке на сервер), рекомендуется выбрать вариант Наиболее точная. Если выбрана конфигурация Рекомендуемая, сервер автоматически настроит параметры на основе просканированных сообщений для балансировки нагрузки. Если активирован вариант Наиболее точная, параметры будут оптимизированы относительно ливневой скорости. Если выбрать Выборочная Открыть файл конфигурации, можно изменить файл spamcatcher.conf 44. Этот параметр рекомендуется использовать только опытным пользователям .

Прежде чем приступать к полноценной эксплуатации, рекомендуется вручную сконфигурировать списки ограниченных и разрешенных IP-адресов. Для этого выполните следующие действия .

1) Откройте окно «Дополнительные параметры» и перейдите в раздел Защита от спама. Не забудьте установить флажок Включить защиту сервера от спама .

2) Перейдите в раздел Ядро защиты от спама .

3) Нажмите кнопку Настройка..., чтобы настроить списки разрешенных, пропущенных и заблокированных IP-адресов .

На вкладке Заблокированные IP-адреса содержится список ограниченных IP-адресов. Это значит, что в том случае, когда любой непропущенный IP-адрес из заголовка полученного сообщения совпадает с адресом из этого списка, сообщение получает оценку 100, а дальнейшие проверки не выполняются .

На вкладке Разрешенные IP-адреса перечисляются IP-адреса, которые являются разрешенными. Это значит, что в том случае, когда первый непропущенный IP-адрес из заголовка полученного сообщения совпадает с любым адресом из этого списка, сообщение получает оценку 0, а дальнейшие проверки не выполняются .

На вкладке Игнорируемые IP-адреса перечисляются адреса, которые следует пропускать при проверках по «черным» спискам реального времени. Этот список должен включать все внутренние IPадреса, защищаемые файерволом, которые недоступны непосредственно через Интернет. Это позволяет избежать ненужных проверок и помогает отличить внешние выполняющие подключение IP-адреса от внутренних IP-адресов .

Работа с "серыми" списками Работа с «серыми» списками — это метод защиты пользователей от спама за счет следующего метода. Агент транспорта отправляет значение ответа «временное отклонение» по SMTP (по умолчанию 451/4.7.1) на каждое полученное от неузнанного отправителя сообщение. Нормальный сервер попытается повторно доставить сообщение. Как правило, отправители спама не пытаются повторно доставить сообщения, так как они обычно обрабатывают тысячи адресов электронной почты одновременно и не могут тратить дополнительное время на повторную отправку .

При оценке источника сообщения этим методом учитываются конфигурации списков Разрешенные IPадреса, Игнорируемые IP-адреса, Надежные отправители и Разрешить IP на сервере Exchange и параметры AntispamBypass для почтового ящика получателя .

Работу с «серыми» списками следует тщательно сконфигурировать, потому что в противном случае возможны нежелательные сбои в работе (например, задержки доставки нормальных сообщений). Количество этих отрицательных последствий постепенно уменьшается, так как этот метод наполняет внутренний «белый» список доверенными соединениями. Если этот метод вам незнаком или вы считаете его отрицательные побочные эффекты неприемлемыми, рекомендуется отключить его в меню дополнительных параметров в разделе Защита от спама Microsoft Exchange Server Транспортный агент Включить работу с "серыми" списками .

Рекомендуется отключить работу с «серыми» списками, если вы планируете протестировать основные функции программы, но не хотите конфигурировать ее расширенные функции .

ПРИМЕЧАНИЕ: Работа с «серыми» списками — это дополнительная мера защиты от спама, которая не влияет на возможности модуля защиты от спама по оценке спама .

Настройка защиты от вирусов Карантин В зависимости от типа используемого режима очистки рекомендуется сконфигурировать действие, которое следует применять к зараженным (неочищенным) сообщениям. Этот параметр можно настроить в окне «Дополнительные настройки» в разделе Защита сервера Защита от вирусов и шпионских программ Microsoft Exchange Server Транспортный агент .

Если активирован параметр, задающий перемещение сообщений в карантин электронной почты, нужно сконфигурировать карантин в окне «Дополнительные настройки» в разделе Защита сервера Карантин сообщений .

Производительность Если нет никаких других ограничений, рекомендуется увеличить количество модулей сканирования ThreatSense в окне «Дополнительные настройки» (F5) в разделе Защита сервера Защита от вирусов и шпионских программ Microsoft Exchange Server VSAPI Производительность, воспользовавшись для этого такой формулой: количество потоков сканирования = (количество физических ЦП x 2) + 1. Также количество потоков сканирования должно быть равно количеству модулей сканирования ThreatSense. Сконфигурировать количество модулей сканирования можно в разделе Защита компьютера Защита от вирусов и шпионских программ Производительность. Ниже приведен пример .

Допустим, у вас есть сервер с 4 физическими ЦП. Для достижения наилучшей производительности по формуле выше у вас должно быть 9 потоков сканирования и 9 модулей сканирования .

ПРИМЕЧАНИЕ. Рекомендуется задавать количество модулей сканирования ThreatSense равным количеству используемых потоков сканирования. Использование большего количества потоков сканирования, чем модулей сканирования, не повлияет на производительность .

ПРИМЕЧАНИЕ. Если программное обеспечение ESET Mail Security используется на сервере Windows Server, который выступает в качестве сервера терминалов, и не нужно запускать графический интерфейс пользователя ESET Mail Security при каждом входе пользователя в систему, ознакомьтесь с конкретными инструкциями по его отключению в главе Отключение графического интерфейса пользователя на сервере терминалов 106 .

3. ESET Mail Security — защита Microsoft Exchange Server ESET Mail Security обеспечивает значительный уровень защиты сервера Microsoft Exchange Server .

Существует три основных типа защиты: защита от вирусов, защита от спама и применение пользовательских правил. ESET Mail Security защищает от различных типов вредоносного содержимого, в том числе вложений в сообщения электронной почты, зараженных червями или троянскими программами, документов, в которых содержатся вредоносные сценарии, фишинга и спама. ESET Mail Security фильтрует вредоносное содержимое на уровне почтового сервера, прежде чем оно попадет в папку «Входящие»

почтового клиента получателя. В следующих главах описываются все параметры, доступные для подробной настройки защиты Microsoft Exchange Server .

3.1 Общие настройки В этом разделе описывается администрирование правил, файлов журнала, карантина сообщений и параметров производительности .

3.1.1 Microsoft Exchange Server 3.1.1.1 VSAPI (API поиска вирусов) В Microsoft Exchange Server есть механизм, который обеспечивает сканирование каждого компонента сообщения с использованием текущей базы данных сигнатур вирусов. Если компонент сообщения не сканировался, соответствующий компонент отправляется в модуль сканирования, прежде чем сообщение будет передано клиенту. В каждой поддерживаемой версии Microsoft Exchange Server (5.5/2000/2003/2007/2010) предлагаются разные версии VSAPI .

Используйте флажок для включения и отключения автоматического запуска версии VSAPI, используемой вашим сервером Exchange .

3.1.1.2 Транспортный агент В этом разделе можно сконфигурировать агент транспорта на автоматический запуск и задать приоритет загрузки агентов. В Microsoft Exchange Server 2007 и более поздних версиях можно установить агент транспорта только в том случае, если сервер имеет одну из двух ролей: пограничный транспортный сервер или транспортный сервер-концентратор .

ПРИМЕЧАНИЕ. Агент транспорта недоступен в Microsoft Exchange Server 5.5 (VSAPI 1.0) .

В меню Настройка приоритета агентов можно задать приоритет агентов ESET Mail Security. Диапазон числовых значений приоритета агентов зависит от версии Microsoft Exchange Server (чем меньше число, тем выше приоритет) .

Записывать вероятность нежелательной почты в заголовок просканированного сообщения на основе оценки нежелательности: вероятность нежелательной почты — это нормализованное значение, присваиваемое сообщению, которое показывает вероятность того, что данное сообщение является спамом (вычисляется на основе характеристик заголовка сообщения, его темы, содержимого и т. д.). Рейтинг 0 показывает, что сообщение крайне маловероятно является спамом, тогда как значение 9 — что сообщение с очень высокой вероятностью является спамом. Значения вероятности нежелательной почты могут далее обрабатываться интеллектуальным фильтром сообщений Microsoft Exchange Server (или агентом фильтрации содержимого). Для получения дополнительных сведений обратитесь к документации на Microsoft Exchange Server .

Параметр При удалении сообщений отправлять ответ отклонения по SMTP Если этот флажок снят, сервер отправляет ответ «ОК» по протоколу SMTP агенту передачи почты отправителя в формате «250 2.5.0 - Requested mail action okay, completed», а затем выполняет необъявленную потерю .

Если же флажок установлен, по SMTP отправляется ответ отклонения агенту передачи почты отправителя. Можно ввести ответное сообщение в следующем формате .

–  –  –

Внимание: Неверный синтаксис кодов ответа по SMTP может привести к некорректной работе компонентов программы и снизить ее эффективность .

ПРИМЕЧАНИЕ. Также можно использовать системные переменные при настройке ответа отклонения по SMTP .

3.1.2 Правила Пункт меню Правила позволяет администраторам вручную задавать условия фильтрации электронной почты и действия, которые необходимо выполнить с отфильтрованными сообщениями. Правила применяются в соответствии с набором совместно используемых условий. Несколько условий объединяются логическим оператором AND, то есть правило применяется только в случае, если все условия выполнены. В столбце Номер (рядом с именем каждого правила) отображается количество случаев успешного применения данного правила .

Правила проверяются для сообщения во время его обработки агентом транспорта или VSAPI. Когда активирован и агент транспорта, и VSAPI, а сообщение отвечает условиям правила, счетчик может быть увеличен для правила на 2 и даже больше. Это связано с тем, что VSAPI обращается к каждой части сообщения по отдельности (тело, вложение), то есть правила последовательно применяются к каждой из таких частей. Правила также применяются во время фонового сканирования (например, повторное сканирование хранилища почтового ящика после обновления базы данных сигнатур вирусов), что также может увеличивать значение счетчика .

Добавить...: добавление нового правила .

Изменить...: изменение существующего правила .

Удалить: удаление выделенного правила .

Очистить: сброс счетчика правила (столбец Номер) .

Вверх: перемещение выделенного правила вверх по списку .

Вниз: перемещение выделенного правила вниз по списку .

Снятие флажка (слева от имени каждого правила) отключает текущее правило Это позволяет повторно активировать правило в случае необходимости .

ПРИМЕЧАНИЕ: Можно также использовать системные переменные (например, %PATHEXT%) при настройке правил .

ПРИМЕЧАНИЕ. Если было добавлено новое или изменено существующее правило, автоматически запускается повторное сканирование сообщений с применением новых или измененных правил .

3.1.2.1 Добавление нового правила Этот мастер помогает добавить пользовательские правила с сочетанием различных условий .

ПРИМЕЧАНИЕ: Не все условия применяются, когда сообщение сканируется агентом транспорта .

По целевому почтовому ящику: условие применяется к имени почтового ящика (VSAPI) .

По получателю сообщения: условие применяется к сообщению, отправленному указанному получателю (VSAPI + агент транспорта) По отправителю сообщения: условие применяется к сообщению от указанного отправителя (VSAPI + агент транспорта) По теме сообщения: условие применяется к сообщению с определенной темой (VSAPI + агент транспорта) По телу сообщения: условие применяется к сообщению, в теле которого есть указанный текст (VSAPI) По имени вложения: условие применяется к сообщению с указанным именем вложения (VSAPI) По размеру вложения: условие применяется к сообщению, размер вложения которого превышает указанный (VSAPI) По частоте вхождений: условие применяется к объектам (тело сообщения электронной почты и вложения), для которых количество вхождений в течение указанного периода времени превышает заданное число (VSAPI + агент транспорта). Это особенно удобно, если вы постоянно получаете нежелательные сообщения, имеющие одинаковое тело сообщения или одно и то же вложение .

При указании перечисленных выше условий (за исключением По размеру вложения) достаточно указать фразу лишь частично, если не установлен флажок Только слова целиком. В значениях не учитывается регистр при условии, что не установлен флажок С учетом регистра. Если в значениях есть символы, отличные от буквенно-цифровых знаков, используйте круглые скобки и кавычки. Также можно создавать условия при помощи логических операторов AND, OR и NOT .

ПРИМЕЧАНИЕ. Набор доступных правил зависит от установленной версии Microsoft Exchange Server .

ПРИМЕЧАНИЕ. Microsoft Exchange Server 2000 (VSAPI 2.0) оценивает только отображаемые имена отправителя и получателя, но не адрес электронной почты. Адреса электронной почты оцениваются, начиная с Microsoft Exchange Server 2003 (VSAPI 2.5) .

Примеры ввода условий По целевому почтовому smith ящику По отправителю smith@mail.com сообщения:

По получателю "J.Smith" or "smith@mail.com" сообщения:

По теме сообщения: "" По имени вложения: ".com" OR ".exe" По телу сообщения: ("бесплатно" OR "лотерея") AND ("выигрыш" OR "купить") 3.1.2.2 Действия, выполняемые при применении правил В этом разделе можно выбрать действия, которые следует выполнять с сообщениями и/или вложениями, соответствующими условиям, определенным в правилах. Можно ничего не предпринимать, пометить сообщение как содержащее угрозу или спам или удалить его целиком. Когда сообщение или его вложения соответствуют условиям правила, по умолчанию оно не сканируется модулями защиты от вирусов и от спама, если сканирование не активировано принудительно путем установки соответствующих флажков в нижней части окна (выполняемое действие в таком случае зависит от параметров модулей защиты от вирусов и от спама) .

Ничего не предпринимать: никакие действия в отношении сообщения не выполняются .

Предпринять действие для неочищенной угрозы: сообщение будет помечено как содержащее неочищенную угрозу (независимо от того, содержало ли оно действительно угрозу) .

Предпринять действие для нежелательной почты: сообщение будет помечено как спам (независимо от того, является ли оно спамом). Этот параметр недоступен, если используется ESET Mail Security без модуля защиты от спама .

Удалить сообщение: удаляется целиком сообщение вместе с содержанием, которое соответствует условиям .

Направить файл на карантин: вложения направляются на карантин .

ПРИМЕЧАНИЕ. Не следует путать эту функцию с карантином почты (см. главу Карантин сообщений 26 ) Отправить файл на aнaлиз: подозрительные вложения отправляются в лабораторию ESET на анализ .

Отправить уведомление о событии: администратору отправляется уведомление (в зависимости от параметров, выбранных в разделе Служебные программы Предупреждения и уведомления) .

Журнал: информация о применяемом правиле регистрируется в журнале программы .

Оценить другие правила: позволяет оценить также и другие правила, что дает пользователю возможность задать несколько наборов условий и разные применяемые действия в зависимости от условий .

Сканировать модулями защиты от вирусов и шпионских программ: сообщение и его вложения сканируются на наличие угроз .

Сканировать модулем защиты от спама: сообщение сканируется на наличие спама .

ПРИМЕЧАНИЕ. Данная функция доступна только для Microsoft Exchange Server 2000 и более поздних версий с включенным агентом транспорта .

Последним этапом мастера создания нового правила является присвоение имени каждому созданному правилу. Также можно добавить Комментарий правила. Эта информация будет сохранена в журнале Microsoft Exchange Server .

3.1.3 Файлы журнала Параметры файлов журнала позволяют выбрать, как будет формироваться файл журнала. В более подробном протоколе может быть представлено больше информации, но при этом он может снижать производительность сервера .

Если установлен флажок Синхронизированная запись без использования кэша, все записи журнала немедленно будут записываться в файл журнала без хранения в кэше журнала. По умолчанию компоненты ESET Mail Security, работающие на сервере Microsoft Exchange Server, хранят сообщения журнала в собственном внутреннем кэше и отправляют их в журнал приложения через определенные промежутки времени для снижения влияния на производительность. Однако в этом случае диагностические записи в журнале могут быть расположены не по порядку. Рекомендуется оставить этот параметр выключенным, если нет особой необходимости включить его для диагностики. Можно указать тип информации, хранящейся в файлах журнала, в меню Содержимое .

Применение правила журналов: если этот параметр активирован, ESET Mail Security записывает имена всех активированных правил в файл журнала .

Оценка нежелательности журнала: используйте этот вариант, чтобы связанная со спамом активность записывалась в журнал защиты от спама 84. Когда почтовый сервер получает нежелательное сообщение, информация об этом записывается в журнал с указанием таких сведений, как время/дата, отправитель, получатель, тема, оценка нежелательности, причина и действие. Это полезно, когда нужно проследить, какие нежелательные сообщения были получены, когда и какие действия были применены .

Работа с "серыми" списками журнала: активируйте этот параметр, если следует записывать активность, связанную с работой с «серыми» списками, в журнал работы с «серыми» списками 84. В нем указывается такая информация, как время/дата, домен HELO, IP-адрес, отправитель, получатель, действие и т. д .

ПРИМЕЧАНИЕ: Этот параметр работает только в том случае, если работа с «серыми» списками активирована в параметрах агента транспорта 39 в разделе Защита сервера Защита от спама Microsoft Exchange Server Транспортный агент дерева расширенных параметров (F5) .

Производительность журнала: регистрируется информация о периоде времени выполненной задачи, размере просканированного объекта, скорости передачи (КБ/с) и оценке производительности .

Диагностическая информация журнала: регистрируется диагностическая информация, необходимая для точной настройки программы в соответствии с протоколом; этот параметр предназначен преимущественно для отладки и выявления проблем. Не рекомендуется активировать этот параметр. Для просмотра диагностической информации, формируемой этой функцией, нужно выбрать для параметра «Минимальная степень детализации журнала» значение Диагностические записи в разделе Служебные программы Файлы журнала Минимальная степень детализации журнала .

3.1.4 Карантин сообщений Карантин сообщений — это особый почтовый ящик, задаваемый системным администратором для хранения потенциально зараженных сообщений и спама. Сообщения, хранящиеся на карантине, могут быть проанализированы или очищены позднее при помощи более новой базы данных сигнатур вирусов .

Существует два типа систем карантина сообщений, которые можно использовать .

Первый вариант заключается в использовании системы карантина Microsoft Exchange (применяется только для Microsoft Exchange Server 2007/2010). В этом случае внутренний механизм Exchange используется для хранения потенциально зараженных сообщений и спама. Кроме того, можно добавить отдельный почтовый ящик карантина (или несколько почтовых ящиков) для конкретных получателей, если это необходимо. Это значит, что потенциально зараженные сообщения, которые изначально были отправлены определенному получателю, будут доставлены в отдельный почтовый ящик карантина, а не во внутренний почтовый ящик карантина Exchange. Это может быть полезно в некоторых ситуациях, чтобы упорядочивать зараженные сообщения и спам .

Другим вариантом, который можно использовать, является Обычный карантин сообщений. Если используется более ранняя версия Microsoft Exchange Server (5.5, 2000 или 2003), то просто указывается Обычный карантин сообщений, который представляет собой почтовый ящик, предназначенный для хранения потенциально зараженных сообщений. В этом случае не используется внутренняя система карантина Exchange. Вместо этого используется почтовый ящик, указанный системным администратором .

Как и в первом случае, можно добавить отдельный почтовый ящик карантина (или несколько почтовых ящиков) для конкретных получателей. В результате потенциально зараженные сообщения доставляются в отдельный почтовый ящик, а не в обычный карантин сообщений .

Обычный карантин сообщений: здесь можно указать адрес обычного карантина сообщений (например, основной_карантин@компания.com) или задать использование внутренней системы карантина Microsoft Exchange Server 2007/2010, оставив это поле пустым и выбрав пункт Отправить сообщение в карантин системы почтового сервера (при условии, что карантин Exchange существует в вашей среде) в раскрывающемся меню в нижней части окна. В этом случае сообщения электронной почты доставляются в карантин с применением внутреннего механизма Exchange и его собственных параметров .

ПРИМЕЧАНИЕ: По умолчанию этот внутренний карантин не активируется в Exchange.

Если нужно активировать его, следует открыть командную консоль Exchange и ввести следующую команду:

Set-ContentFilterConfig -QuarantineMailbox имя@домен.com (замените имя@домен.com на фактический почтовый ящик, который Microsoft Exchange следует использовать в качестве внутреннего почтового ящика карантина, например карантинexchange@компания.com) Карантин сообщений по получателю: применение этого параметра позволяет задать почтовые ящики карантина сообщений для нескольких получателей. Каждое правило карантина можно включить и отключить, установив или сняв флажок в его строке .

Добавить...: можно добавить новое правило карантина, указав адрес электронной почты нужного получателя и адрес электронной почты карантина, куда будет направлено сообщение .

Изменить...: изменение выделенного правила карантина .

Удалить: удаление выделенного правила карантина .

Предпочитать обычный карантин сообщений: если данный параметр активирован, сообщение будет доставлено в указанный обычный карантин, если выполняется более одного правила карантина (например, если сообщение имеет несколько получателей, причем некоторые из них указаны в нескольких правилах карантина) .

Сообщение для несуществующего карантина сообщений (если не задан обычный карантин сообщений, существуют описанные далее варианты действий, которые будут применяться к потенциально зараженным сообщениям и спаму) Ничего не предпринимать: сообщение будет обработано стандартным образом, то есть доставлено получателю (не рекомендуется) Удалить сообщение: сообщение будет удалено, если оно предназначено получателю, для которого не существует правило карантина, а обычный карантин сообщений не задан; это означает, что все потенциально зараженные сообщения и спам будут автоматически удаляться без хранения где-либо .

Отправить сообщение в карантин системы почтового сервера: сообщение будет доставлено и сохранено во внутреннем карантине системы Exchange (недоступно для Microsoft Exchange Server 2003 и более ранних версий) ПРИМЕЧАНИЕ. Можно также использовать системные переменные (например, %USERNAME%) при настройке параметров карантина сообщений .

3.1.4.1 Добавление нового правила карантина Введите нужный адрес электронной почты получателя и адрес электронной почты карантина в соответствующие поля .

Если нужно удалить сообщение электронной почты, предназначенное получателю, для которого не применяется правило карантина, можно выбрать вариант Удалить сообщение в раскрывающемся меню Сообщение для несуществующего карантина сообщений .

3.1.5 Производительность В этом разделе можно выбрать папку для хранения временных файлов для улучшения производительности программы. Если папка не указана, ESET Mail Security будет создавать временные файлы во временной папке системы .

ПРИМЕЧАНИЕ. Для сокращения возможного влияния операций ввода-вывода и фрагментации рекомендуется разместить временную папку не на том жестком диске, на котором установлен сервер Microsoft Exchange Server. Настоятельно не рекомендуется выбирать временную папку на съемных носителях, таких как гибкие диски, USB-устройства, DVD-диски и т. п .

ПРИМЕЧАНИЕ. Можно использовать системные переменные (например, %SystemRoot%\TEMP) при настройке параметров производительности .

3.2 Параметры защиты от вирусов и шпионских программ Можно включить защиту почтового сервера от вирусов и шпионских программ, установив флажок Включить защиту сервера от вирусов и шпионских программ. Имейте в виду, что защита от вирусов и шпионских программ включается автоматически после каждого перезапуска службы или компьютера .

Настроить параметры модуля ThreatSense можно, нажав кнопку Настройка… .

3.2.1 Microsoft Exchange Server Когда речь идет о защите от вирусов и шпионских программ, ESET Mail Security для Microsoft Exchange Server применяет два типа сканирования. Первый тип сканирует сообщения через VSAPI, тогда как второй использует агент транспорта .

В рамках защиты с применением VSAPI 29 сообщения сканируются непосредственно в хранилище сервера Exchange .

Защитой агентом транспорта 35 сканируется трафик протокола SMTP вместо собственно хранилища сервера Exchange. Если этот тип защиты включен, это значит, что все сообщения и их компоненты сканируются при транспортировке, еще до того, как они попадают в хранилище сервера Exchange или отправляются по протоколу SMTP. Фильтрация на уровне SMTP-сервера осуществляется специализированным подключаемым модулем. В Microsoft Exchange Server 2000 и 2003 этот подключаемый модуль («Приемник событий») регистрируется на SMTP-сервере в составе служб IIS. В Microsoft Exchange Server 2007/2010 этот подключаемый модуль регистрируется в качестве агента транспорта на ролях «пограничный сервер» или «концентратор» Microsoft Exchange Server .

ПРИМЕЧАНИЕ: Агент транспорта недоступен в Microsoft Exchange Server 5.5, но доступен во всех более новых версиях Microsoft Exchange Server (начиная с версии 2000) .

Защита от вирусов и шпионских программ с помощью VSAPI и агента транспорта могут работать одновременно (это используемая по умолчанию рекомендуемая конфигурация). Или же можно выбрать использовать только один тип защиты (либо VSAPI, либо агент транспорта). Они могут включаться и отключаться независимо друг от друга. Рекомендуется использовать оба типа для обеспечения максимально качественной защиты от вирусов и шпионских программ. Не рекомендуется отключать оба типа .

3.2.1.1 API поиска вирусов (VSAPI) В Microsoft Exchange Server есть механизм, который обеспечивает сканирование каждого компонента сообщения с использованием текущей базы данных сигнатур вирусов. Если сообщение не сканировалось ранее, соответствующие его компоненты отправляются в модуль сканирования, прежде чем сообщение будет передано клиенту. В каждой поддерживаемой версии Microsoft Exchange Server (5.5/2000/2003/2007/2010) предлагаются разные версии VSAPI .

3.2.1.1.1 Microsoft Exchange Server 5.5 (VSAPI 1.0) В состав этой версии Microsoft Exchange Server входит VSAPI версии 1.0 .

Если активирован параметр Фоновое сканирование, можно сканировать все сообщения в фоновом режиме системы. Microsoft Exchange Server принимает решение о том, будет ли выполняться фоновое сканирование, на основе различных факторов, таких как текущая нагрузка на систему, количество активных пользователей и т. д. Microsoft Exchange Server сохраняет записи о просканированных сообщениях и использованной версии базы данных сигнатур вирусов. Если открывается сообщение, которое не сканировалось с применением самой актуальной базы данных сигнатур вирусов, Microsoft Exchange Server отправляет это сообщение в ESET Mail Security для сканирования, прежде чем такое сообщение будет открыто в почтовом клиенте .

Поскольку фоновое сканирование может увеличить нагрузку на систему (сканирование выполняется после каждого обновления базы данных сигнатур вирусов), рекомендуется использовать сканирование по расписанию, планируя его на нерабочие часы. Запланированное фоновое сканирование можно сконфигурировать с помощью особой задачи в планировщике. При планировании задачи фонового сканирования можно задать время запуска, количество повторений и другие параметры, которые доступны в планировщике. После планирования задачи она появляется в списке запланированных и, как и с другими задачами, можно изменить ее параметры, удалить ее или временно отключить .

3.2.1.1.1.1 Действия В этом разделе можно задать действия, которые следует выполнять, если сообщение и/или вложение оценивается как зараженное .

В поле Действие, если очистка невозможна можно выбрать один из вариантов: Блокировать зараженное содержимое, Удалить сообщение или Ничего не предпринимать к зараженному содержимому сообщения .

Это действие будет применено, только если в результате автоматической очистки (задается в разделе Настройка параметров модуля ThreatSense Очистка 67 ) не удалось очистить сообщение .

В поле Удаление можно задать метод удаления вложения, выбрав один из перечисленных далее вариантов .

Усечь файл до нулевой длины: ESET Mail Security урезает вложение до нулевого размера и позволяет получателю видеть имя файла и тип вложения .

Заменить вложение информацией действия: ESET Mail Security заменяет зараженный файл на протокол вируса или описание правила .

Если нажать кнопку Повторное сканирование, то можно выполнить еще одно сканирование сообщений и файлов, которые уже были просканированы ранее .

3.2.1.1.1.2 Производительность При сканировании Microsoft Exchange Server позволяет ограничить время на открытие вложений в сообщения. Это время задается в поле Предельное время ответа (мс) и представляет собой период, по окончании которого клиент повторит попытку доступа к файлу, который ранее был недоступен из-за сканирования .

3.2.1.1.2 Microsoft Exchange Server 2000 (VSAPI 2.0) В состав этой версии Microsoft Exchange Server входит VSAPI версии 2.0 .

Если снять флажок Включить защиту от вирусов и шпионских программ VSAPI 2.0, подключаемый модуль ESET Mail Security для сервера Exchange не будет выгружен из процесса Microsoft Exchange Server. Он будет просто пропускать через себя сообщения, не сканируя их на наличие вирусов. Однако сообщения все же будут сканироваться на наличие спама 39, а также будут применяться правила 22 .

Если активирован параметр Упреждающее сканирование, новые входящие сообщения будут сканироваться в том же порядке, в котором они были получены. Если этот параметр активирован и пользователь открывает сообщение, которое еще не сканировалось, это сообщение будет сканироваться до остальных ожидающих сообщений .

Параметр Фоновое сканирование позволяет сканировать все сообщения в фоновом режиме системы .

Microsoft Exchange Server принимает решение о том, будет ли выполняться фоновое сканирование, на основе различных факторов, таких как текущая нагрузка на систему, количество активных пользователей и т. д. Microsoft Exchange Server сохраняет записи о просканированных сообщениях и использованной версии базы данных сигнатур вирусов. Если открывается сообщение, которое не сканировалось с применением самой актуальной базы данных сигнатур вирусов, Microsoft Exchange Server отправляет это сообщение в ESET Mail Security для сканирования, прежде чем такое сообщение будет открыто в почтовом клиенте .

Поскольку фоновое сканирование может увеличить нагрузку на систему (сканирование выполняется после каждого обновления базы данных сигнатур вирусов), рекомендуется использовать сканирование по расписанию, планируя его на нерабочие часы. Запланированное фоновое сканирование можно сконфигурировать с помощью особой задачи в планировщике. При планировании задачи фонового сканирования можно задать время запуска, количество повторений и другие параметры, которые доступны в планировщике. После планирования задачи она появляется в списке запланированных и, как и с другими задачами, можно изменить ее параметры, удалить ее или временно отключить .

Если нужно сканировать сообщения в формате обычного текста, установите флажок Сканировать тело сообщений в формате обычного текста .

Установка флажка Сканировать тело сообщений в формате RTF активирует сканирование тела сообщений в формате RTF. В теле сообщений в формате RTF могут содержаться макровирусы .

3.2.1.1.2.1 Действия В этом разделе можно задать действия, которые следует выполнять, если сообщение и/или вложение оценивается как зараженное .

В поле Действие, если очистка невозможна можно выбрать один из вариантов: Блокировать зараженное содержимое, Удалить сообщение или Ничего не предпринимать к зараженному содержимому сообщения .

Это действие будет применено, только если в результате автоматической очистки (задается в разделе Настройка параметров модуля ThreatSense Очистка 67 ) не удалось очистить сообщение .

Параметр Удаление позволяет задать метод удаления сообщения и метод удаления вложения .

В качестве значений параметра Метод удаления сообщения можно выбрать один из следующих вариантов .

Удалить тело сообщения: удаляется тело зараженного сообщения; получателю будут доставлены пустое сообщение и все незараженные вложения .

Заменить тело сообщения информацией действия: тело зараженного сообщения заменяется информацией о выполненных действиях .

В качестве значений параметра Метод удаления вложения можно выбрать один из следующих вариантов .

Усечь файл до нулевой длины: ESET Mail Security урезает вложение до нулевого размера и позволяет получателю видеть имя файла и тип вложения .

Заменить вложение информацией действия: ESET Mail Security заменяет зараженный файл на протокол вируса или описание правила .

Если нажать кнопку Повторное сканирование, то можно выполнить еще одно сканирование сообщений и файлов, которые уже были просканированы ранее .

3.2.1.1.2.2 Производительность В этом разделе можно задать количество независимых потоков сканирования, используемых одновременно. Большее количество потоков на многопроцессорных компьютерах может увеличить скорость сканирования. Для обеспечения максимальной производительности программы рекомендуется использовать одинаковое количество модулей сканирования ThreatSense и потоков сканирования .

В поле Предельное время ответа (с) можно задать максимальное время, в течение которого поток ждет завершения сканирования сообщения. Если в течение этого времени сканирование не завершается, Microsoft Exchange Server запретит клиенту доступ к электронной почте. Сканирование не будет прервано, а по его окончании все остальные попытки получить доступ к файлу будут успешны .

СОВЕТ: Для определения количества потоков сканирования, рекомендуемых поставщиком Microsoft Exchange Server, нужно использовать формулу: [количество физических процессоров] x 2 + 1 .

ПРИМЕЧАНИЕ: Производительность не увеличивается существенно, если количество модулей сканирования ThreatSense больше потоков сканирования .

3.2.1.1.3 Microsoft Exchange Server 2003 (VSAPI 2.5) В состав этой версии Microsoft Exchange Server входит VSAPI версии 2.5 .

Если снять флажок Включить защиту от вирусов и шпионских программ VSAPI 2.5, подключаемый модуль ESET Mail Security для сервера Exchange не будет выгружен из процесса Microsoft Exchange Server. Он будет просто пропускать через себя сообщения, не сканируя их на наличие вирусов. Однако сообщения все же будут сканироваться на наличие спама 39, а также будут применяться правила 22 .

Если активирован параметр Упреждающее сканирование, новые входящие сообщения будут сканироваться в том же порядке, в котором они были получены. Если этот параметр активирован и пользователь открывает сообщение, которое еще не сканировалось, это сообщение будет сканироваться до остальных ожидающих сообщений .

Параметр Фоновое сканирование позволяет сканировать все сообщения в фоновом режиме системы .

Microsoft Exchange Server принимает решение о том, будет ли выполняться фоновое сканирование, на основе различных факторов, таких как текущая нагрузка на систему, количество активных пользователей и т. д. Microsoft Exchange Server сохраняет записи о просканированных сообщениях и использованной версии базы данных сигнатур вирусов. Если открывается сообщение, которое не сканировалось с применением самой актуальной базы данных сигнатур вирусов, Microsoft Exchange Server отправляет это сообщение в ESET Mail Security для сканирования, прежде чем такое сообщение будет открыто в почтовом клиенте .

Поскольку фоновое сканирование может увеличить нагрузку на систему (сканирование выполняется после каждого обновления базы данных сигнатур вирусов), рекомендуется использовать сканирование по расписанию, планируя его на нерабочие часы. Запланированное фоновое сканирование можно сконфигурировать с помощью особой задачи в планировщике. При планировании задачи фонового сканирования можно задать время запуска, количество повторений и другие параметры, которые доступны в планировщике. После планирования задачи она появляется в списке запланированных и, как и с другими задачами, можно изменить ее параметры, удалить ее или временно отключить .

Установка флажка Сканировать тело сообщений в формате RTF активирует сканирование тела сообщений в формате RTF. В теле сообщений в формате RTF могут содержаться макровирусы .

Параметр Сканировать переносимые сообщения активирует сканирование сообщений, которые не хранятся на локальном сервере Microsoft Exchange Server и доставляются на другие серверы электронной почты через локальный сервер Microsoft Exchange Server. Сервер Microsoft Exchange Server можно сконфигурировать в качестве шлюза, который затем передает сообщения на другие серверы электронной почты. Если активировано сканирование переносимых сообщений, ESET Mail Security также сканирует эти сообщения. Этот параметр доступен только тогда, когда отключен агент транспорта .

ПРИМЕЧАНИЕ: Тело сообщений электронной почты в формате обычного текста не сканируется VSAPI .

3.2.1.1.3.1 Действия В этом разделе можно задать действия, которые следует выполнять, если сообщение и/или вложение оценивается как зараженное .

В поле Действие, если очистка невозможна можно выбрать один из вариантов: Блокировать зараженное содержимое, Удалить зараженное содержимое сообщения, Удалить сообщение целиком или Ничего не предпринимать. Это действие будет применено, только если в результате автоматической очистки (задается в разделе Настройка параметров модуля ThreatSense Очистка 67 ) не удалось очистить сообщение .

Параметр Удаление позволяет задать метод удаления сообщения и метод удаления вложения .

В качестве значений параметра Метод удаления сообщения можно выбрать один из следующих вариантов .

Удалить тело сообщения: удаляется тело зараженного сообщения; получателю будут доставлены пустое сообщение и все незараженные вложения .

Заменить тело сообщения информацией действия: тело зараженного сообщения заменяется информацией о выполненных действиях .

Удалить сообщение целиком: удаляется сообщение целиком вместе с вложениями; можно также выбрать, какое действие следует предпринять при удалении вложений .

В качестве значений параметра Метод удаления вложения можно выбрать один из следующих вариантов .

Усечь файл до нулевой длины: ESET Mail Security урезает вложение до нулевого размера и позволяет получателю видеть имя файла и тип вложения .

Заменить вложение информацией действия: ESET Mail Security заменяет зараженный файл на протокол вируса или описание правила .

Удалить сообщение целиком: удаляется сообщение целиком вместе с вложениями; можно также выбрать, какое действие следует предпринять при удалении вложений .

Если нажать кнопку Повторное сканирование, то можно выполнить еще одно сканирование сообщений и файлов, которые уже были просканированы ранее .

3.2.1.1.3.2 Производительность В этом разделе можно задать количество независимых потоков сканирования, используемых одновременно. Большее количество потоков на многопроцессорных компьютерах может увеличить скорость сканирования. Для обеспечения максимальной производительности программы рекомендуется использовать одинаковое количество модулей сканирования ThreatSense и потоков сканирования .

В поле Предельное время ответа (с) можно задать максимальное время, в течение которого поток ждет завершения сканирования сообщения. Если в течение этого времени сканирование не завершается, Microsoft Exchange Server запретит клиенту доступ к электронной почте. Сканирование не будет прервано, а по его окончании все остальные попытки получить доступ к файлу будут успешны .

СОВЕТ. Для определения количества потоков сканирования, рекомендуемых поставщиком Microsoft Exchange Server, нужно использовать формулу: [количество физических процессоров] x 2 + 1 .

ПРИМЕЧАНИЕ. Производительность не увеличивается существенно, если количество модулей сканирования ThreatSense больше потоков сканирования .

3.2.1.1.4 Microsoft Exchange Server 2007/2010 (VSAPI 2.6) В состав этой версии Microsoft Exchange Server входит VSAPI версии 2.6 .

Если снять флажок Включить VSAPI 2.6 защиты от вирусов и шпионских программ, подключаемый модуль ESET Mail Security для сервера Exchange не будет выгружен из процесса Microsoft Exchange Server. Он будет просто пропускать через себя сообщения, не сканируя их на наличие вирусов. Однако сообщения все же будут сканироваться на наличие спама 39, а также будут применяться правила 22 .

Если активирован параметр Упреждающее сканирование, новые входящие сообщения будут сканироваться в том же порядке, в котором они были получены. Если этот параметр активирован и пользователь открывает сообщение, которое еще не сканировалось, это сообщение будет сканироваться до остальных ожидающих сообщений .

Параметр Фоновое сканирование позволяет сканировать все сообщения в фоновом режиме системы .

Microsoft Exchange Server принимает решение о том, будет ли выполняться фоновое сканирование, на основе различных факторов, таких как текущая нагрузка на систему, количество активных пользователей и т. д. Microsoft Exchange Server сохраняет записи о просканированных сообщениях и использованной версии базы данных сигнатур вирусов. Если открывается сообщение, которое не сканировалось с применением самой актуальной базы данных сигнатур вирусов, Microsoft Exchange Server отправляет это сообщение в ESET Mail Security для сканирования, прежде чем такое сообщение будет открыто в почтовом клиенте .

Можно выбрать параметр Сканировать только сообщения с вложением и фильтровать на основе времени получения, используя один из перечисленных далее вариантов параметра Уровень сканирования .

Все сообщения Сообщения, полученные за последний год Сообщения, полученные за последние 6 месяцев Сообщения, полученные за последние 3 месяца Сообщения, полученные за последний месяц Сообщения, полученные за последнюю неделю Поскольку фоновое сканирование может увеличить нагрузку на систему (сканирование выполняется после каждого обновления базы данных сигнатур вирусов), рекомендуется использовать сканирование по расписанию, планируя его на нерабочие часы. Запланированное фоновое сканирование можно сконфигурировать с помощью особой задачи в планировщике. При планировании задачи фонового сканирования можно задать время запуска, количество повторений и другие параметры, которые доступны в планировщике. После планирования задачи она появляется в списке запланированных и, как и с другими задачами, можно изменить ее параметры, удалить ее или временно отключить .

Установка флажка Сканировать тело сообщений в формате RTF активирует сканирование тела сообщений в формате RTF. В теле сообщений в формате RTF могут содержаться макровирусы .

ПРИМЕЧАНИЕ. Тело сообщений электронной почты в формате обычного текста не сканируется VSAPI .

3.2.1.1.4.1 Действия В этом разделе можно задать действия, которые следует выполнять, если сообщение и/или вложение оценивается как зараженное .

В поле Действие, если очистка невозможна можно выбрать один из вариантов: Блокировать зараженное содержимое, Удалить объект для удаления зараженного содержимого сообщения, Удалить сообщение целиком или Ничего не предпринимать. Это действие будет применено, только если в результате автоматической очистки (задается в разделе Настройка параметров модуля ThreatSense Очистка 67 ) не удалось очистить сообщение .

Как описано выше, можно выбрать одно из следующих значений для параметра Действие, если очистка невозможна .

Ничего не предпринимать: не предпринимать никаких действий к зараженному содержимому сообщения .

Блокировать: заблокировать сообщение, прежде чем оно будет получено, в хранилище Microsoft Exchange Server .

Удалить объект: удалить зараженное содержимое сообщения .

Удалить сообщение целиком: удалить все сообщение вместе с зараженным содержимым .

Параметр Удаление позволяет задать метод удаления тела сообщения и метод удаления вложения .

В качестве значений параметра Метод удаления тела сообщения можно выбрать один из следующих вариантов .

Удалить тело сообщения: удаляется тело зараженного сообщения; получателю будут доставлены пустое сообщение и все незараженные вложения .

Заменить тело сообщения информацией действия: тело зараженного сообщения заменяется информацией о выполненных действиях .

Удалить сообщение целиком: удаляется сообщение целиком вместе с вложениями; можно также выбрать, какое действие следует предпринять при удалении вложений .

В качестве значений параметра Метод удаления вложения можно выбрать один из следующих вариантов .

Усечь файл до нулевой длины: ESET Mail Security урезает вложение до нулевого размера и позволяет получателю видеть имя файла и тип вложения .

Заменить вложение информацией действия: ESET Mail Security заменяет зараженный файл на протокол вируса или описание правила .

Удалить сообщение целиком: вложение удаляется .

Если активирован параметр Использовать карантин VSAPI, зараженные сообщения будут храниться в карантине сервера электронной почты. Обратите внимание, что это карантин VSAPI под управлением сервера (не карантин клиента или почтовый ящик карантина). Зараженные сообщения, хранящиеся на карантине почтового сервера, будут недоступны до очистки с применением самой актуальной базы данных сигнатур вирусов .

Если нажать кнопку Повторное сканирование, то можно выполнить еще одно сканирование сообщений и файлов, которые уже были просканированы ранее .

3.2.1.1.4.2 Производительность В этом разделе можно задать количество независимых потоков сканирования, используемых одновременно. Большее количество потоков на многопроцессорных компьютерах может увеличить скорость сканирования. Для обеспечения максимальной производительности программы рекомендуется использовать одинаковое количество модулей сканирования ThreatSense и потоков сканирования .

СОВЕТ. Для определения количества потоков сканирования, рекомендуемых поставщиком Microsoft Exchange Server, нужно использовать формулу: [количество физических процессоров] x 2 + 1 .

ПРИМЕЧАНИЕ. Производительность не увеличивается существенно, если количество модулей сканирования ThreatSense больше потоков сканирования .

3.2.1.1.5 Транспортный агент В этом разделе можно включить или отключить защиту от вирусов и шпионских программ, осуществляемую агентом транспорта. Для Microsoft Exchange Server 2007 и более поздних версий можно установить агент транспорта только в том случае, если сервер имеет одну из двух ролей: пограничный транспортный сервер или транспортный сервер-концентратор .

Если существует сообщение, которое невозможно очистить, оно будет обработано в соответствии с параметрами в разделе «Транспортный агент». Это сообщение можно удалить, отправить в почтовый ящик карантина или сохранить .

Если снять флажок Включить защиту от вирусов и шпионских программ агентом транспорта, подключаемый модуль ESET Mail Security для сервера Exchange не будет выгружен из процесса Microsoft Exchange Server. Он будет просто пропускать через себя сообщения, не сканируя их на наличие вирусов .

Однако сообщения все же будут сканироваться на наличие спама 39, а также будут применяться правила 22 .

Если установить флажок Включить защиту от вирусов и шпионских программ агентом транспорта, также можно выбрать Действие, если очистка невозможна .

Сохранить сообщение: зараженное сообщение, которое не удалось очистить, сохраняется .

Направить сообщение на карантин: зараженное сообщение отправляется в почтовый ящик карантина .

Удалить сообщение: зараженное сообщение удаляется .

При обнаружении угрозы записать оценку нежелательности в заголовок просканированных сообщений (в %): оценке нежелательности (вероятность того, что сообщение является спамом) присваивается заданное значение в процентах .

Это значит, что при обнаружении угрозы оценка нежелательности (заданное значение в процентах) будет записана в просканированное сообщение. Поскольку большая часть зараженных сообщений рассылаются ботнетами, распространяемые таким образом сообщения можно классифицировать как спам. Для обеспечения эффективной работы этой функции нужно активировать параметр Записывать вероятность нежелательной почты в просканированные сообщения на основе оценки нежелательности в разделе Защита сервера Microsoft Exchange Server Транспортный агент 20 .

Если активирован параметр Также сканировать сообщения, полученные по прошедшим аутентификацию и внутренним подключениям, ESET Mail Security также выполняет сканирование сообщений, полученных от прошедших аутентификацию источников или локальных серверов .

Рекомендуется сканировать такие сообщения, так как это делает защиту еще более надежной, но это не обязательно .

3.2.2 Действия В этом разделе можно выбрать, следует ли добавлять идентификатор задачи сканирования и/или информацию о результатах сканирования в заголовок просканированных сообщений .

3.2.3 Предупреждения и уведомления ESET Mail Security позволяет добавить текст в исходную тему или тело зараженного сообщения .

Добавить в тело просканированных сообщений: позволяет использовать один из трех описанных далее вариантов .

Не добавлять к сообщениям Добавлять только к зараженным сообщениям Добавлять ко всем просканированным сообщениям Если выбрать вариант Добавить к теме зараженных сообщений, ESET Mail Security будет добавлять уведомление в тему сообщения. Значение такого уведомления задается в текстовом поле Шаблон для добавления к теме зараженных сообщений (по умолчанию [virus %VIRUSNAME%]). Описанные выше изменения могут автоматизировать фильтрацию электронной почты путем переноса сообщений с определенной темой (если это поддерживается почтовым клиентом) в отдельную папку .

ПРИМЕЧАНИЕ. Также можно использовать системные переменные при добавлении шаблона в тему сообщения .

3.2.4 Автоматические исключения Разработчики серверных приложений и операционных систем рекомендуют исключать наборы критических рабочих файлов и папок из антивирусного сканирования для большинства таких программных продуктов. Антивирусное сканирование может отрицательно повлиять на производительность сервера, привести к конфликтам и даже не дать некоторым приложениям работать на сервере. Исключения помогают свести к минимуму риск возможных конфликтов и улучшить общую производительность сервера при работе программного обеспечения защиты от вирусов .

ESET Mail Security выявляет критические файлы серверных приложений и серверных операционных система и автоматически добавляет их в список Исключения. После добавления в список серверный процесс или приложение может быть включено (по умолчанию) путем установки соответствующего флажка или же отключено его снятием. В результате ситуация будет развиваться следующим образом .

1) Если исключение для приложения или операционной системы остается активированным, все соответствующие критические файлы и папки будут добавлены в список файлов, исключенных из сканирования (Дополнительные настройки Защита компьютера Защита от вирусов и шпионских программ Исключения). При каждом перезапуске сервера система автоматически проверяет исключения и восстанавливает все исключения, которые могли быть удалены из списка. Это рекомендуемая настройка, которая позволяет обеспечить постоянное применение рекомендованных автоматических исключений .

2) Если деактивировать исключение для приложения или операционной системы, соответствующие критические файлы и папки остаются в списке файлов, исключенных из сканирования (Дополнительные настройки Защита компьютера Защита от вирусов и шпионских программ Исключения). Однако они не будут автоматически проверяться и восстанавливаться в списке Исключения при каждом перезапуске сервера (см. пункт 1 выше). Эту настройку рекомендуется применять только опытным пользователям, которым нужно удалить или изменить какие-либо из стандартных исключений. Если нужно удалить исключения из списка без перезапуска сервера, их следует удалить вручную ( Дополнительные настройки Защита компьютера Защита от вирусов и шпионских программ Исключения) .

Описанные выше настройки никак не влияют на любые пользовательские исключения, введенные вручную в разделе Дополнительные настройки Защита компьютера Защита от вирусов и шпионских программ Исключения .

Автоматические исключения для серверных приложений и операционных систем выбираются на основе рекомендаций Microsoft. Для получения дополнительных сведений воспользуйтесь следующими ссылками .

http://support.microsoft.com/kb/822158 http://support.microsoft.com/kb/245822 http://support.microsoft.com/kb/823166 http://technet.microsoft.com/en-us/library/bb332342%28EXCHG.80%29.aspx http://technet.microsoft.com/en-us/library/bb332342.aspx

3.3 Защита от спама В разделе Защита от спама можно включать и отключать защиту от спама для установленного почтового сервера, конфигурировать параметры ядра защиты от спама и задавать другие уровни защиты .

3.3.1 Microsoft Exchange Server 3.3.1.1 Транспортный агент В этом разделе можно задать параметры защиты от спама с использованием агента транспорта .

ПРИМЕЧАНИЕ. Агент транспорта недоступен в Microsoft Exchange Server 5.5 .

При активации параметра Включить защиту от спама агентом транспорта пользователь настраивает перечисленные далее параметры как Действие с нежелательными сообщениями .

Сохранить сообщение: сообщение сохраняется, даже если оно помечено как спам .

Направить сообщение на карантин: помеченное как спам сообщение отправляется в почтовый ящик карантина .

Удалить сообщение: помеченное как спам сообщение удаляется .

Если нужно включить в заголовок сообщения информацию о его оценке нежелательности, установите флажок Записать оценку нежелательности в заголовок просканированных сообщений .

Параметр Включить работу с "серыми" списками активирует функцию, которая защищает пользователей от спама за счет следующего метода. Агент транспорта отправляет значение ответа «временное отклонение» по SMTP (по умолчанию 451/4.7.1) на каждое полученное не от известного отправителя сообщение. Нормальный сервер попробует повторить отправку сообщения через некоторое время. Как правило, рассылающие спам серверы не пытаются повторно отправить сообщения, так как они обычно обрабатывают тысячи адресов электронной почты и не тратят время на повторную отправку. Работа с «серыми» списками — это дополнительная мера защиты от спама, которая не влияет на возможности модуля защиты от спама по оценке спама .

При оценке источника сообщения этим методом учитываются конфигурации списков Разрешенные IPадреса, Игнорируемые IP-адреса, Надежные отправители и Разрешить IP на сервере Exchange и параметры AntispamBypass для почтового ящика получателя. Сообщения электронной почты, поступающие от IP-адресов/отправителей из этих списков, а также сообщения, доставляемые в почтовый ящик, у которого активирован параметр AntispamBypass, будут пропускаться методом обнаружения путем работы с «серыми» списками .

В поле Отклик SMTP для временно отклоненных подключений задается ответ о временном отклонении, отправляемый SMTP-серверу, если сообщение отклоняется .

Пример отправляемого по SMTP ответного сообщения

–  –  –

Внимание: Неверный синтаксис кодов ответа по SMTP может привести к некорректному функционированию защиты путем работы с «серыми» списками. В результате клиентам могут доставляться нежелательные сообщения или же сообщения могут не доставляться совсем .

Ограничение времени для первоначального отклонения подключения (минут): когда сообщение доставляется впервые и временно отклоняется, этот параметр определяет период времени, в течение которого сообщение всегда будет отклоняться (с момента первого отклонения). По окончании заданного периода времени это сообщение будет успешно получено. Минимальное значение равняется 1 минуте .

Время окончания срока действия непроверенных подключений (часов): этот параметр определяет минимальный период времени, в течение которого будут храниться данные триады. Нормальный сервер должен повторить отправку нужного сообщения до окончания этого периода. Данное значение должно быть больше значения параметра Ограничение времени для первоначального отклонения подключения .

Время окончания срока действия проверенных подключений (дней): минимальное количество дней, в течение которого хранится информация триады. В течение этого времени электронная почта от конкретного отправителя будет получаться без какой-либо задержки. Это значение должно быть больше значения параметра Время окончания срока действия непроверенных подключений .

ПРИМЕЧАНИЕ. Также можно использовать системные переменные при настройке ответа отклонения по SMTP .

3.3.2 Ядро защиты от спама Здесь можно сконфигурировать параметры ядра защиты от спама. Это можно сделать, нажав кнопку Настроить.... Откроется окно, в котором можно сконфигурировать перечисленные далее параметры ядра защиты от спама 41 .

Классификация сообщений Ядро защиты от спама ESET Mail Security присваивает каждому просканированному сообщению оценку нежелательности в диапазоне от 0 до 100. Изменяя предельные значения диапазона оценок нежелательности в этом разделе, можно влиять на следующие факторы .

1) Классификация сообщения как СПАМА или как НЕ СПАМА. Все сообщения, имеющие оценку нежелательности, равную или превышающую значение параметра Оценка нежелательности для обработки сообщения как спама, считаются СПАМОМ. В результате к таким сообщениям будут применены действия, заданные в разделе Транспортный агент 39 .

2) Запись сообщения в журнал защиты от спама 84 (Служебные программы Файлы журнала Защита от спама). Все сообщения, имеющие оценку нежелательности, равную или превышающую значение параметра Пороговое значение оценки нежелательности, при котором сообщение обрабатывается как возможный спам или разрешенное сообщение, записываются в журнал .

3) Один из перечисленных далее разделов статистики защиты от спама, в котором будет учтено данное сообщение (Состояние защиты Статистика Защита почтового сервера от спама) .

Сообщения, классифицированные как спам: оценка нежелательности сообщения равна или больше значения, заданного в параметре Оценка нежелательности для обработки сообщения как спама .

Сообщения, классифицированные как возможный спам: оценка нежелательности сообщения равна или больше значения, заданного в параметре Пороговое значение оценки нежелательности, при котором сообщение обрабатывается как возможный спам или разрешенное сообщение .

Сообщения, классифицированный как возможный не спам: оценка нежелательности сообщения ниже значения, заданного в параметре Пороговое значение оценки нежелательности, при котором сообщение обрабатывается как возможный спам или разрешенное сообщение .

Сообщения, классифицированные как не спам: оценка нежелательности сообщения равна или меньше значения, заданного в параметре Оценка нежелательности для обработки сообщения как не спама .

3.3.2.1 Настройка параметров ядра защиты от спама Настройка параметров ядра защиты от спама Можно выбрать профиль из набора предварительно сконфигурированных профилей (Рекомендуемая, Наиболее точная, Самая быстрая, Выборочная). Список профилей загружается из модуля защиты от спама. Для каждого из указанных профилей из файла spamcatcher.conf загружаются различные конкретные параметры, а другая конкретная подгруппа параметров загружается непосредственно из программы, причем вновь они будут разными для каждого отдельного профиля. Даже если выбран вариант Выборочная, некоторые параметры применяются непосредственно из программы, а не из файла spamcatcher.conf, т. е. параметры прокси-сервера из файла spamcatcher.conf не будут применены, если проксисервер был сконфигурирован через графический интерфейс пользователя ESET Mail Security, поскольку параметры из программы всегда имеют более высокий приоритет по сравнению с параметрами из файла spamcatcher.conf. Параметр автоматического обновления ядра защиты от спама каждый раз будет менять состояние на отключенное вне зависимости от изменений в файле spamcatcher.conf .

Профиль Рекомендуемая состоит из рекомендуемых параметров и представляет собой наиболее рациональное сочетание безопасности и влияния на производительность системы .

Единственной целью профиля Наиболее точная является безопасность почтового сервера. Этот профиль потребляет больше системных ресурсов по сравнению с рекомендуемым .

Профиль Самая быстрая предварительно сконфигурирован для обеспечения минимального потребления системных ресурсов, что достигается за счет отключения некоторых функций сканирования .

Раздел Выборочная Открыть файл конфигурации дает пользователю возможность изменить файл spamcatcher.conf. Этот вариант рекомендован тем системным администраторам, которым нужно полностью самостоятельно выбрать все параметры системы (при необходимости). Но первые три варианта профилей должны быть достаточны в большинстве ситуаций. Если нужно использовать выборочный профиль, ознакомьтесь с главой Файл конфигурации 44 для получения дополнительных сведений о доступных параметрах и их влиянии на систему. Необходимо помнить, что есть ряд параметров, которые применяются непосредственно из программы, а потому имеют более высокий приоритет по сравнению с параметрами из файла spamcatcher.conf. Это нужно, чтобы предотвратить неправильное конфигурирование важнейших компонентов, которое могло бы привести к некорректной работе ESET Mail Security .

Изменить параметры в файле spamcatcher.conf можно двумя способами. Первый способ заключается в использовании графического интерфейса пользователя ESET Mail Security, для чего нужно выбрать профиль Выборочная в раскрывающемся меню Конфигурация. Затем следует нажать ссылку Открыть файл конфигурации непосредственно под раскрывающимся меню профиля. В результате файл spamcatcher.conf будет открыт в «Блокноте» для редактирования. Второй способ заключается в том, чтобы открыть файл spamcatcher.conf непосредственно в любом другом текстовом редакторе. Файл spamcatcher.conf находится в папке C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\MailServer в Windows Server 2000 и 2003, а для Windows Server 2008 в папке C:\ProgramData\ESET\ESET Mail Security\MailServer .

После внесения в файл spamcatcher.conf нужных параметров нужно перезапустить ядро защиты от спама, чтобы в него попали изменения из программы и из файла конфигурации. Если файл spamcatcher.conf изменялся через графический интерфейс пользователя, можно просто закрыть диалоговое окно, нажав кнопку «ОК». При этом будет перезапущено ядро защиты от спама. Также при этом станет неактивной ссылка Перезагрузка параметров ядра защиты от спама. Это значит, что ядро защиты от спама было перезапущено .

Если же изменения в файл spamcatcher.conf вносились непосредственно в текстовом редакторе (не через графический интерфейс пользователя), то необходимо перезапустить ядро защиты от спама, чтобы изменения попали в программу. Существует несколько способов перезапуска ядра защиты от спама. Можно оставить ядро защиты от спама для перезапуска в следующий раз (например, при обновлении базы данных сигнатур) или при необходимости перезапустить его вручную через древовидную структуру расширенного меню (F5) Защита сервера Защита от спама Ядро защиты от спама, где нужно нажать ссылку Перезагрузка параметров ядра защиты от спама. Также перезапустить ядро защиты от спама можно путем отключения и повторного включения защиты от спама через главное окно ESET Mail Security. Для этого нужно перейти в раздел Настройка Защита от спама, где нажать Временно отключить защиту от спама в нижней части окна, а затем нажать Включить защиту от спама .

После этого ядром защиты от спама будет использоваться новая конфигурация .

ПРИМЕЧАНИЕ. Можно использовать измененный файл spamcatcher.conf вместе с профилем конфигурации, отличным от Выборочная (например, с профилем Наиболее точная). В этом случае некоторые параметры используются в соответствии с конфигурацией в файле spamcatcher.conf, а некоторые — так, как задано в графическом интерфейсе пользователя. Если значения параметров отличаются, параметры из графического интерфейса пользователя всегда имеют преимущество перед параметрами из файла spamcatcher.conf (за исключением некоторых важнейших компонентов системы, которые задаются программой вне зависимости от того, что указано в графическом интерфейсе пользователя или в файле spamcatcher.conf) .

На вкладке Разрешенные IP-адреса можно указать IP-адреса, которые следует разрешать. Это значит, что в том случае, когда первый непропущенный IP-адрес из заголовка полученного сообщения совпадает с любым адресом из этого списка, сообщение получает оценку 0, а дальнейшие проверки не выполняются .

На вкладке Игнорируемые IP-адреса можно указать IP-адреса, которые следует пропускать при проверках по «черным» спискам реального времени. Следует включить в этот список все внутренние IP-адреса, защищаемые файерволом, которые недоступны непосредственно через Интернет. Это позволяет избежать ненужных проверок и помогает определить фактические IP-адреса, которые выполняют подключение .

Внутренние IP-адреса уже пропускаются ядром (192.168.x.y и 10.x) .

На вкладке Заблокированные IP-адреса можно указать IP-адреса, которые следует блокировать. Это значит, что в том случае, когда любой непропущенный IP-адрес из заголовка полученного сообщения совпадает с адресом из этого списка, сообщение получает оценку 100, а дальнейшие проверки не выполняются .

На вкладке Пропущенные домены можно указать домены, используемые в теле сообщения, которые всегда следует исключать из проверок DNSBL и MSBL и пропускать .

На вкладке Заблокированные домены можно указать домены, используемые в теле сообщения, которые всегда следует блокировать .

ПРИМЕЧАНИЕ. В отличие от IP-адресов при добавлении доменов нельзя использовать подстановочные знаки .

Технологии защиты от спама и работы с «серыми» списками также позволяют использовать так называемую работу с «белым» списком .

Возможности применения работы с «белым» списком для работы с «серыми» списками Microsoft Exchange 2003

- список разрешенных IP-адресов в интеллектуальном фильтре сообщений Exchange (Фильтрация подключений Глобальный список разрешенных адресов)

- список разрешенных и пропущенных IP-адресов в параметрах ESET Mail Security Microsoft Exchange 2007/2010

- список разрешенных и пропущенных IP-адресов в параметрах ESET Mail Security

- список надежных отправителей для конкретного получателя

- параметр AntispamBypassEnabled для конкретного почтового ящика

- список разрешенных IP-адресов в Microsoft Exchange

- параметр AntispamBypassEnabled для конкретного подключения по SMTP Возможности применения работы с «белым» списком для защиты от спама Общие

- список разрешенных IP-адресов в параметрах ESET Mail Security

- список доменов почты в файле approvedsenders

- фильтрация на основе правил Microsoft Exchange 2003

- список разрешенных IP-адресов в интеллектуальном фильтре сообщений Exchange (Фильтрация подключений Глобальный список разрешенных адресов) Microsoft Exchange 2007/2010

- список надежных отправителей для конкретного получателя

- параметр AntispamBypassEnabled для конкретного почтового ящика

- список разрешенных IP-адресов в Microsoft Exchange

- параметр AntispamBypassEnabled для конкретного подключения по SMTP ПРИМЕЧАНИЕ: Общей характеристикой технологий защиты от спама и работы с «серыми» списками является то, что сообщения от прошедших аутентификацию и внутренних источников не проверяются на предмет спама .

3.3.2.1.1 Файл конфигурации Файл конфигурации spamcatcher.conf позволяет изменить ряд дополнительных параметров, которые не доступны в графическом интерфейсе пользователя ESET Mail Security. Параметры в файле spamcatcher.conf явным образом структурированы и описаны .

Имя — имя параметра Аргументы — значения, которые могут быть присвоены параметру, а также их синтаксис По умолчанию — значение параметра по умолчанию Описание — подробное описание параметра Пустые строки и строки, начинающиеся с символа решетки («#»), опускаются .

Перечень самых важных параметров, присутствующих в файле spamcatcher.conf, приведен далее .

Имя параметра Описание approved_ip_list Перечень одобренных IP-адресов. Нет необходимости добавлять список в файл spamcatcher.conf. Сформировать его можно в графическом интерфейсе пользователя программы (см. главу Настройка параметров ядра защиты от спама 41 ) .

blocked_ip_list Перечень заблокированных IP-адресов. Нет необходимости добавлять список в файл spamcatcher.conf. Сформировать его можно в графическом интерфейсе пользователя программы (см. главу Настройка параметров ядра защиты от спама 41 ) .

ignored_ip_list Перечень пропущенных IP-адресов. Нет необходимости добавлять список в файл spamcatcher.conf. Сформировать его можно в графическом интерфейсе пользователя программы (см. главу Настройка параметров ядра защиты от спама 41 ) .

rbl_list Перечень серверов «черных» списков реального времени, которые следует использовать при оценке сообщений. Запрос к «черным» спискам реального времени проверяет наличие конкретного IP-адреса на данном сервере. Таким проверкам подвергаются IPадреса из раздела «Получено» в заголовке сообщения .

Используется такой формат ввода: rbl_list=сервер:ответ:коррекция,сервер2:ответ2:

коррекция2,.. .

Значение параметров описывается далее .

1) Сервер — имя сервера «черных» списков реального времени .

2) Ответ — ответ сервера «черных» списков реального времени, если обнаружен IP-адрес (стандартными являются ответы 127.0.0.2, 127.0.0.3, 127.0.0.4 и т. п.). Этот параметр является необязательным, при его отсутствии будут учитываться все ответы .

3) Коррекция — значение от 0 до 100, которое влияет на общую оценку нежелательности .

Стандартным значением является 100, т. е. в случае положительного результата проверки сообщению присваивается оценка нежелательности 100, а само сообщение считается спамом. Отрицательные значения снижают общую оценку нежелательности сообщения. Также следует ожидать значения 0 при обработке сообщений от отправителей из файла approvedsenders и значения 100, если сообщения поступили от отправителей из файла blockedsenders (см. ниже) .

–  –  –

Пример 3. rbl_list=bx9 .

dbl.com::85, list.dnb.org:127.0.0.4:35, req.gsender.org::-75 Для проверки в «черных» списках реального времени используются заданные серверы (слева направо). При положительном результате проверки по серверу bx9.dbl.com будет добавлено значение коррекции 85. Если проверка по серверу list.dnb.org будет положительной с ответом 127.0.0.4, будет использоваться значение коррекции 35 .

Коррекция не будет применяться, если ответы будут отличны от 127.0.0.4. При положительном результате проверки по серверу req.gsender.org оценка нежелательности будет уменьшена на 75 пунктов (отрицательное значение) .

rbl_max_ips Максимальное количество IP-адресов, которые могут быть отправлены для проверки на сервер «черных» списков реального времени. Общее количество запросов на сервер «черных» списков реального времени равняется общему количеству IP-адресов в разделах «Получено» заголовка сообщения (до заданного в rbl_maxcheck_ips ограничения), умноженному на количество серверов «черных» списков реального времени, заданных в параметре rbl_list. Значение 0 означает, что не существует ограничений по максимальному количеству IP-адресов, которые могут проверяться .

IP-адреса в параметре ignored_ip_list (т. е. список Пропущенные IP-адреса в параметрах ESET Mail Security) .

Этот параметр применяется только в том случае, если включен параметр rbl_list (т. е. в нем есть хотя бы 1 сервер) .

approved_domain Это список доменов и IP-адресов в теле сообщения электронной почты, которые следует _list считать разрешенными. Этот список не следует использовать для внесения в «белый»

список адресов электронной почты по домену отправителя!

blocked_domain_li Это список доменов и IP-адресов в теле сообщения электронной почты, которые следует st считать постоянно заблокированными. Это не «черный» список адресов отправителей!

Нет необходимости добавлять список в файл spamcatcher.conf. Сформировать его можно в графическом интерфейсе пользователя программы (см. главу Настройка параметров ядра защиты от спама 41 ) .

ignored_domain_li Список доменов в теле сообщения электронной почты, которые следует постоянно st исключить из проверок DNSBL и игнорировать. Нет необходимости добавлять список в файл spamcatcher.conf. Сформировать его можно в графическом интерфейсе пользователя программы (см. главу Настройка параметров ядра защиты от спама 41 ) .

dnsbl_list Список серверов DNSBL, которые следует использовать для проверок доменов и IPадресов в теле сообщения электронной почты. Используется следующий формат записи:

dnsbl_list=сервер:ответ:коррекция,сервер2:ответ2:коррекция2,... Используемые параметры описаны далее .

1) Сервер — имя сервера DNSBL .

2) Ответ — ответ сервера DNSBL, если обнаружен IP-адрес или домен (стандартными являются ответы 127.0.0.2, 127.0.0.3, 127.0.0.4 и т. п.). Этот параметр является необязательным, при его отсутствии будут учитываться все ответы .

3) Коррекция — значение от 0 до 100, которое влияет на общую оценку нежелательности .

Стандартным значением является 100, т. е. в случае положительного результата проверки сообщению присваивается оценка нежелательности 100, а само сообщение считается спамом. Отрицательные значения снижают общую оценку нежелательности сообщения. Также следует ожидать значения 0 при обработке сообщений от отправителей из файла approvedsenders и значения 100, если сообщения поступили от отправителей из файла blockedsenders (см. ниже) .

Проверки DNSBL могут отрицательно повлиять на производительность сервера в связи с тем, что каждый домен/IP-адрес из тела сообщения проверяется по всем заданным серверам DNSBL, причем для каждой проверки нужно обработать запрос к DNS-серверу .

Сократить потребление системных ресурсов можно, развернув для этой цели DNS-сервер кэширования. По той же причине IP-адреса без поддержки маршрутизации (10.x.x.x, 127 .

x.x.x, 192.168.x.x) также опускаются при проверках DNSBL .

–  –  –

Пример 3. dnsbl_list=bx9 .

dbl.com::85, list.dnb.org:127.0.0.4:35, req.gsender.org::-75 Для проверки DNSBL используются заданные серверы (слева направо). При положительном результате проверки по серверу bx9.dbl.com будет добавлено значение коррекции 85. Если проверка по серверу list.dnb.org будет положительной с ответом 127.0.0.4, то будет использоваться значение коррекции 35. Коррекция не будет применяться, если ответы будут отличны от 127.0.0.4. При положительном результате проверки по серверу req.gsender.org оценка нежелательности будет уменьшена на 75 пунктов (отрицательное значение) .

home_country_list Список стран, которые будут считаться страной проживания. Сообщения, маршрутизируемые через страну, отсутствующую в этом списке, будут оцениваться с использованием более жестких правил (будет применена более высокая оценка нежелательности). В качестве формата записи стран используется их двузначный код в соответствии с ISO 3166 .

home_language_li Список предпочтительных языков, т. е. тех языков, которые чаще всего используются в st сообщениях электронной почты. Такие сообщения будут оцениваться с применением менее жестких правил (более низкая оценка нежелательности). В качестве формата записи языков используется их двузначный код в соответствии с ISO 639 .

custom_rules_list Позволяет задать пользовательские списки правил и хранить каждый список в отдельном файле. Каждое правило записывается в отдельной строке файла в следующем формате .

–  –  –

Дальнейшие параметры для работы с «черным и «белым» списками доступны в файлах approvedsenders и blockedsenders, которые находятся в папке C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\MailServer в Windows Server 2000 и 2003 или в папке C:\ProgramData\ESET\ESET Mail Security\MailServer в Windows Server 2008. В эти списки можно добавить адреса или домены отправителя, причем файл approvedsenders представляет собой список разрешенных адресов/доменов, а в файле blockedsenders перечисляются заблокированные адреса/домены .

Внимание: Поскольку очень часто используются методы подделки адресов отправителей (они изменяются так, чтобы сообщения казались отправленными тем, кто их якобы отправил), не рекомендуется использовать файлы approvedsenders и blockedsenders как средства работы с «белым» и «черным» списками. В этих целях намного надежнее и безопаснее использовать разрешенные и заблокированные IP-адреса. Если нужно добавить отправителя в «белый» список по адресу/домену (файл approvedsenders), всегда следует применять дополнительный метод проверки сообщения (например, инфраструктуру политики отправителей) .

Прочие параметры

enable_spf Этот параметр включает/отключает проверку по инфраструктуре политики отправителей. Этот метод проверки проверяет общие правила домена (политику домена), чтобы определить, разрешено ли отправителю рассылать сообщения с этого домена .

enable_all_spf Этот параметр определяет, могут ли домены, отсутствующие в параметре spf_list и файле Mailshell, обойти проверку по инфраструктуре политики отправителей. Для корректной работы этого параметра у параметра enable_realtime_spf должно быть значение «yes» .

enable_realtime_spf Если этот параметр активирован, DNS-запросы будут отправляться в режиме реального времени в ходе проверки по инфраструктуре политики отправителей. Это может негативно сказаться на производительности (задержки при оценке сообщений) .

spf_list Этот параметр позволяет назначить значимость конкретной записи инфраструктуры политики отправителей, тем самым повлияв на общую оценку нежелательности сообщения .

spf_*_weight Символ «звездочка» (*) здесь представляет 14 возможных результатов проверки по инфраструктуре политики отправителей (дополнительные сведения см. в разделе spamcatcher.conf). Значение, введенное для этого параметра, представляет собой значение коррекции, которое затем применяется к оценке нежелательности в соответствии с конкретными типами результатов. Если проверка по инфраструктуре политики отправителей имеет результат «fail», будет применено значение коррекции из параметра spf_fail_weight. В зависимости от значения коррекции может увеличиться или уменьшиться итоговая оценка нежелательности .

spf_recursion_depth Максимальная глубина вложенности (с применением механизма «include»). По норме RFC 4408 это ограничение равно 10 (для предотвращения атак типа «отказ в обслуживании»), но в некоторых записях инфраструктуры политики отправителей это ограничение больше не соблюдается, так как нужно применить большее количество уровней вложенности для выполнения запроса инфраструктуры политики отправителей .

enable_livefeed_sen Если этот параметр отключен, информация инфраструктуры политики отправителей der_repute из LiveFeed будет игнорироваться .

3.3.3 Предупреждения и уведомления Каждое сообщение электронной почты, просканированное ESET Mail Security и помеченное как спам, может быть выделено путем добавления уведомления в тему сообщения. По умолчанию в качестве уведомления используется [SPAM], однако это может быть и пользовательская строка .

ПРИМЕЧАНИЕ. Также можно использовать системные переменные при добавлении шаблона в тему сообщения .

3.4 Часто задаваемые вопросы В. После установки EMSX с модулем защиты от спама электронная почта перестала доставляться в почтовые ящики .

О. Если активирована работа с «серыми» списками, это нормально. В первые несколько часов полноценной эксплуатации сообщения электронной почты могут получаться с задержкой в несколько часов. Если проблема сохраняется в течение более длительного времени, рекомендуется отключить работу с «серыми»

списками (или повторно конфигурировать) .

В. Когда VSAPI сканирует вложения электронной почты, сканируется ли также тело сообщения?

О. В Microsoft Exchange Server 2000 с пакетом обновления SP2 и более поздней версии VSAPI сканирует также и тело сообщения .

В. Почему сканирование сообщений продолжается после отключения параметра VSAPI?

О. Изменения в параметры VSAPI выполняются асинхронно, то есть измененные параметры VSAPI должны быть запрошены Microsoft Exchange Server, чтобы они вступили в силу. Этот циклический процесс выполняется с интервалом примерно в одну минуту. То же относится и ко всем другим параметрам VSAPI .

В. Может ли VSAPI удалить целиком сообщение с зараженным вложением?

О. Да, VSAPI может удалить сообщение целиком. Однако для этого сначала нужно выбрать параметр Удалить сообщение целиком в разделе Действия параметров VSAPI. Этот параметр доступен в Microsoft Exchange Server версии 2003 и более поздних. Более ранние версии Microsoft Exchange Server не поддерживают удаление сообщений целиком .

В. Сканируется ли исходящая электронная почта также VSAPI на наличие вирусов?

О. Да, VSAPI сканирует исходящие сообщения электронной почты при условии, что в почтовом клиенте не сконфигурирован SMTP-сервер, отличный от Microsoft Exchange Server. Эта функция применяется в Microsoft Exchange Server 2000 с пакетом обновления 3 и более поздних версий .

В. Можно ли добавить текст уведомления через VSAPI в каждое просканированное сообщение так же, как это делается при использовании агента транспорта?

О. Добавление текста в сообщения, просканированные VSAPI, не поддерживается в Microsoft Exchange Server .

В. Иногда я не могу открыть определенное сообщение электронной почты в Microsoft Outlook. С чем это связано?

О. Для параметра Действие, если очистка невозможна в параметрах VSAPI в разделе Действия скорее всего выбрано значение Блокировать или же вы создали правило, в котором используется действие Блокировать. При любом из этих вариантов зараженные сообщения и/или сообщения, отвечающие такому правилу, будут помечаться и блокироваться .

В. Что означает элемент Предельное время ответа в разделе Производительность?

О. Если используется Microsoft Exchange Server 2000 с пакетом обновления SP2 или более поздней версии, значение параметра Предельное время ответа показывает максимальное время в секундах, необходимое, чтобы завершить сканирование с помощью VSAPI одного потока. Если в течение этого времени сканирование не завершается, Microsoft Exchange Server запретит клиенту доступ к электронной почте .

Сканирование не будет прервано, а по его окончании все остальные попытки получить доступ к файлу будут успешны. Если используется Microsoft Exchange Server 5.5 с пакетом обновления SP3 или SP4, это значение будет выражено в миллисекундах и представляет собой период, по окончании которого клиент повторит попытку доступа к файлу, который ранее был недоступен из-за сканирования .

В. Какой длины может быть список типов файлов в одном правиле?

О. Список расширений файлов может содержать не более 255 символов в одном правиле .

В. Я включил параметр Фоновое сканирование в VSAPI. До этого сообщения на сервере Microsoft Exchange Server всегда сканировались после каждого обновления базы данных сигнатур вирусов. Однако этого не случилось после последнего обновления. В чем заключается проблема?

О. Решение, следует ли сканировать все сообщения немедленно или при попытке пользователя открыть сообщение, зависит от нескольких факторов, среди которых нагрузка на сервер, время ЦП, необходимое для сканирования всех сообщений сразу, и общее количество сообщений. Microsoft Exchange Server будет сканировать каждое сообщение, прежде чем оно будет доставлено в папку «Входящие» клиента .

В. Почему значение счетчика правила увеличилось больше чем на единицу после получения одного сообщения?

О.Правила проверяются для сообщения во время его обработки агентом транспорта или VSAPI. Когда активирован и агент транспорта, и VSAPI, а сообщение отвечает условиям правила, счетчик может быть увеличен для правила на 2 и даже больше. VSAPI обращается к каждой части сообщения по отдельности (тело, вложение), то есть правила последовательно применяются к каждой из таких частей. Кроме того, правила также могут применяться во время фонового сканирования (например, повторное сканирование хранилища почтового ящика после обновления базы данных сигнатур вирусов), что также может увеличивать значение счетчика .

В. Совместимо ли программное обеспечение ESET Mail Security 4 для Microsoft Exchange Server с интеллектуальным фильтром сообщений?

О. Да, программное обеспечение ESET Mail Security 4 для Microsoft Exchange Server (EMSX) совместимо с интеллектуальным фильтром сообщений. В случае, если сообщение оценивается как спам, оно обрабатывается следующим образом .

- Если для модуля защиты от спама ESET Mail Security активирован параметр Удалить сообщение (или Направить сообщение на карантин), действие будет выполнено вне зависимости от того действия, которое настроено в интеллектуальном фильтре сообщений Microsoft Exchange .

- Если для модуля защиты от спама ESET Mail Security выбран вариант Ничего не предпринимать, будут использоваться параметры интеллектуального фильтра сообщений Microsoft Exchange и выполняться соответствующее действие (например, удаление, отклонение, архивация...). Должен быть активирован параметр Записывать вероятность нежелательной почты в просканированные сообщения на основе оценки нежелательности (в разделе Защита сервера Microsoft Exchange Server Транспортный агент), чтобы эта функция корректно работала .

В. Как настроить ESET Mail Security на перемещение нежелательных сообщений в выбранную пользователем папку спама Microsoft Outlook?

О. Использование параметров по умолчанию ESET Mail Security приводит к тому, что нежелательные сообщения хранятся в Microsoft Outlook в папке Нежелательная почта. Для включения этой функциональности установите флажок Записать оценку нежелательности в заголовок просканированного сообщения (в разделе F5 Защита сервера Защита от спама Microsoft Exchange Server Транспортный агент). Если нежелательные сообщения нужно хранить в другой папке, ознакомьтесь с приведенными далее инструкциями .

1) В ESET Mail Security

- Отключите параметр Записать оценку нежелательности в заголовок просканированного сообщения .

- Выберите Ничего не предпринимать в качестве действия для сообщений, помеченных как спам .

- Задайте текст, который будет добавляться к нежелательным сообщениям, например «[SPAM]» (в разделе Защита сервера Защита от спама Предупреждения и уведомления) .

2) В Microsoft Outlook

- Настройте правило, чтобы сделать так, чтобы сообщения с определенным текстом в теме («[SPAM]») перемещались в выбранную папку .

В. В статистике защиты от спама многие сообщения находятся в категории Не сканировалось. Какая электронная почта не сканируется модулем защиты от спама?

О. В категории Не сканировалось есть следующие подкатегории .

Общие:

Все сообщения, которые были просканированы, когда защита от спама была отключена на любом из уровней (почтовый сервер, агент транспорта) .

Microsoft Exchange Server 2003:

Все сообщения, поступающие с IP-адреса, который присутствует в интеллектуальном фильтре сообщений глобального списка разрешенных адресов .

Сообщения от прошедших аутентификацию отправителей .

Microsoft Exchange Server 2007:

Все сообщения, отправленные в пределах организации (все они будут сканироваться модулем защиты от вирусов) .

Сообщения от прошедших аутентификацию отправителей .

Сообщения от пользователей, для которых выполнено конфигурирование на обход защиты от спама .

Все сообщения, отправленные в почтовый ящик, для которого включен параметр AntispamBypass .

Все сообщения от отправителей из списка Надежные отправители .

ПРИМЕЧАНИЕ. Адреса, перечисленные в «белом» списке и параметрах ядра защиты от спама, не попадают в категорию Не сканировалось, так как эта группа состоит исключительно из сообщений, которые никогда не обрабатывались модулем защиты от спама .

В. Пользователи загружают сообщения в свои почтовые клиенты по протоколу POP3 (в обход Microsoft Exchange Server), но почтовые ящики хранятся на сервере Microsoft Exchange Server. Будут ли такие сообщения электронной почты сканироваться модулями защиты от вирусов и защиты от спама ESET Mail Security?

О. При такой конфигурации ESET Mail Security будет сканировать сообщения электронной почты, хранящиеся на сервере Microsoft Exchange Server, только на наличие вирусов (через VSAPI). Сканирование модулем защиты от спама выполняться не будет, так как для этого нужен SMTP-сервер .

В. Можно ли задать значение оценки нежелательности, которое должно быть у сообщения, чтобы оно классифицировалось как спам?

О. Да, это ограничение можно задать в ESET Mail Security версии 4.3 и более поздних (см. главу Настройка параметров ядра защиты от спама 41 ) .

В. Сканирует ли модуль защиты от спама ESET Mail Security также сообщения, которые загружаются через соединитель POP3?

О. Сообщения, загружаемые через соединитель POP3, сканируются на наличие спама только в SBS 2008 .

4. ESET Mail Security — защита сервера Обеспечивая защиту Microsoft Exchange Server, ESET Mail Security также имеет в своем составе все необходимые служебные программы для обеспечения защиты самого сервера (резидентная защита, защита доступа в Интернет, защита почтового клиента и защита от спама) .

4.1 Защита от вирусов и шпионских программ Защита от вирусов предотвращает вредоносные атаки на компьютер путем контроля файлов, электронной почты и связи через Интернет. Если обнаруживается содержащая злонамеренный код угроза, модуль защиты от вирусов может обезвредить ее, сначала заблокировав, а затем очистив, удалив или переместив на карантин .

4.1.1 Защита в режиме реального времени Защита файловой системы в режиме реального времени контролирует все события в системе, относящиеся к защите от вирусов. Все файлы сканируются на наличие злонамеренного кода в момент их открытия, создания или запуска. Защита файловой системы в режиме реального времени запускается при загрузке операционной системы .

4.1.1.1 Настройка управления Защита файловой системы в режиме реального времени проверяет все типы носителей, причем контроль активируется различными событиями. За счет использования методов обнаружения ThreatSense (как описано в разделе Настройка параметров модуля ThreatSense 65 ) защита файловой системы в режиме реального времени может быть разной для вновь создаваемых и уже существующих файлов. Для вновь созданных файлов возможно применение более глубокого уровня контроля .

Для снижения влияния на производительность компьютера при использовании защиты в режиме реального времени файлы, которые уже сканировались, не сканируются повторно, пока не будут изменены .

Файлы сканируются повторно сразу после каждого обновления базы данных сигнатур вирусов. Такое поведение конфигурируется с использованием оптимизации Smart. Если она отключена, все файлы сканируются каждый раз при доступе к ним. Для изменения этого параметра откройте окно «Дополнительные настройки» и нажмите Защита от вирусов и шпионских программ Защита файловой системы в режиме реального времени в дереве расширенных параметров. Затем нажмите кнопку Настройка... рядом с пунктом Настройка параметров модуля ThreatSense, нажмите Другое и установите или снимите флажок Включить оптимизацию Smart .

По умолчанию защита в режиме реального времени запускается при загрузке системы и обеспечивает непрерывное сканирование. В особых случаях (например, в случае конфликта с другим модулем сканирования в режиме реального времени) защиту файловой системы в режиме реального времени можно отключить, сняв флажок Автоматический запуск защиты файловой системы в режиме реального времени .

4.1.1.1.1 Носители для сканирования По умолчанию на наличие возможных угроз сканируются все типы носителей .

Жесткие диски: проверяются все жесткие диски, существующие в системе .

Съемные носители: дискеты, USB-устройства хранения и т. п .

Сетевые диски: сканируются все сопоставленные диски .

Рекомендуется оставить параметры по умолчанию, а изменять их только в особых случаях (например, если сканирование определенных носителей приводит к значительному замедлению обмена данными) .

4.1.1.1.2 Сканировать при (сканирование по событию) По умолчанию все файлы сканируются при открытии, создании или исполнении. Рекомендуется не изменять настройки по умолчанию, поскольку они обеспечивают максимальную защиту компьютера в режиме реального времени .

Параметр Доступ к дискете позволяет контролировать загрузочный сектор дискеты, когда открывается такой диск. Параметр Выключение компьютера обеспечивает проверку загрузочных секторов жесткого диска при выключении компьютера. Хотя загрузочные вирусы в настоящее время встречаются редко, рекомендуется оставить эти флажки установленными, так как по-прежнему существует вероятность заражения таким вирусом из альтернативного источника .

4.1.1.1.3 Расширенные параметры сканирования Более подробную настройку можно выполнить в разделе Защита компьютера Защита от вирусов и шпионских программ Защита в режиме реального времени Дополнительные настройки .

Дополнительные параметры модуля ThreatSense для новых и измененных файлов: вероятность заражения вновь созданных или измененных файлов выше по сравнению с существующими файлами .

Именно поэтому программа проверяет эти файлы с дополнительными параметрами сканирования. Вместе с обычными методами сканирования, основанными на базе данных сигнатур вирусов, применяется расширенная эвристика, что значительно улучшает уровень обнаружения. В дополнение ко вновь созданным файлам выполняется также сканирование самораспаковывающихся файлов (.sfx) и упаковщиков (исполняемых файлов с внутренним сжатием). По умолчанию проверяются архивы с глубиной вложенности до 10 независимо от их фактического размера. Для изменения параметров сканирования архивов снимите флажок «Параметры сканирования архива по умолчанию» .

Дополнительные параметры модуля ThreatSense.Net для исполняемых файлов: по умолчанию расширенная эвристика не применяется при исполнении файлов. Однако в некоторых случаев этот параметр может быть нужно включить (установив флажок Расширенная эвристика запуска файлов) .

Обратите внимание, что расширенная эвристика может замедлить выполнение некоторых программ из-за повышения системных требований .

4.1.1.2 Уровни очистки Защита в режиме реального времени предусматривает три уровня очистки. Для выбора уровня очистки нажмите кнопку Настройка... в разделе Защита файловой системы в режиме реального времени, а затем выберите ветвь Очистка .

При первом уровне, Без очистки, для каждого найденного заражения на экран выводится окно предупреждения с доступными для него действиями. Пользователь должен выбрать действие для каждого заражения отдельно. Этот уровень предназначен для более опытных пользователей, которые знают о действиях, которые следует предпринимать в случае заражения .

При уровне по умолчанию автоматически выбирается и выполняется предварительно определенное действие (в зависимости от типа заражения). Обнаружение и удаление зараженных файлов сопровождается сообщением, выводимым в правом нижнем углу экрана. Автоматические действия не выполняются при обнаружении заражения в архиве (в котором также содержатся незараженные файлы), а также в случаях, когда для зараженных объектов нет предварительно заданного действия .

Третий уровень, Тщательная очистка, является наиболее агрессивным: все зараженные объекты очищаются. Так как использование этого уровня может привести к потере нужных файлов, рекомендуется использовать его только в особых случаях .

4.1.1.3 Момент изменения конфигурации защиты в режиме реального времени Защита в режиме реального времени является самой важной составляющей, необходимой для обеспечения безопасности компьютера. Поэтому необходимо быть внимательным при изменении ее параметров .

Рекомендуется изменять параметры только в особых случаях. Например, при возникновении конфликтов с какими-либо приложениями или модулями сканирования в режиме реального времени других программ защиты от вирусов .

После установки ESET Mail Security все параметры оптимизированы для обеспечения максимального уровня безопасности системы для пользователей. Для восстановления параметров по умолчанию нажмите кнопку По умолчанию, расположенную в правом нижнем углу окна Защита файловой системы в режиме реального времени (Дополнительные настройки Защита от вирусов и шпионских программ Защита файловой системы в режиме реального времени) .

4.1.1.4 Проверка защиты в режиме реального времени Для проверки того, что защита в режиме реального времени действительно работает и обнаруживает вирусы, используйте проверочный файл eicar.com. Это специальный безвредный тестовый файл, который обнаруживается всеми программами защиты от вирусов. Файл создан компанией EICAR (Европейский институт антивирусных компьютерных исследований) для проверки функционирования программ защиты от вирусов. Файл eicar.com доступен для загрузки с веб-сайта http://www.eicar.org/download/eicar.com .

ПРИМЕЧАНИЕ. Перед осуществлением проверки защиты в режиме реального времени необходимо отключить файервол. Если файервол включен, он обнаружит данный файл и предотвратит его загрузку .

4.1.1.5 Решение проблем, возникающих при работе защиты файловой системы в режиме реального времени В следующей главе рассказывается о проблемах, которые могут возникать при работе защиты в режиме реального времени, и о том, как их устранить .

Защита файловой системы в режиме реального времени отключена Если защита в режиме реального времени непреднамеренно была отключена пользователем, ее нужно повторно активировать. Чтобы повторно активировать защиту файловой системы в режиме реального времени, в главном окне программы перейдите в раздел Настройка Защита от вирусов и шпионских программ и щелкните ссылку Включить защиту файловой системы в режиме реального времени .

Если защита файловой системы в режиме реального времени не запускается при загрузке операционной системы, возможно, снят флажок Автоматический запуск защиты файловой системы в режиме реального времени. Чтобы установить этот флажок, перейдите в раздел «Дополнительные настройки» (F5) и нажмите Защита файловой системы в режиме реального времени в дереве расширенных параметров .

Проверьте, что в разделе Дополнительные настройки в нижней части этого окна установлен флажок Автоматический запуск защиты файловой системы в режиме реального времени .

Защита в режиме реального времени не обнаруживает и не очищает заражения Убедитесь в том, что на компьютере не установлены другие программы защиты от вирусов. При одновременной работе двух систем защиты в режиме реального времени могут возникнуть конфликты .

Рекомендуется удалить все прочие программы защиты от вирусов с компьютера .

Защита в режиме реального времени на запускается Если защита в режиме реального времени не запускается при загрузке операционной системы, но флажок Автоматический запуск защиты файловой системы в режиме реального времени установлен, возможно, возник конфликт с другими программами. В этом случае обратитесь за консультацией к специалистам службы поддержки клиентов ESET .

4.1.2 Защита почтового клиента Защита электронной почты обеспечивает контроль обмена данными по электронной почте через протокол POP3. При использовании подключаемого модуля для Microsoft Outlook ESET Mail Security позволяет контролировать весь обмен данными, осуществляемый почтовым клиентом (по протоколам POP3, MAPI, IMAP, HTTP) .

При проверке входящих сообщений программа использует все современные методы сканирования, обеспечиваемые модулем сканирования ThreatSense. Это позволяет обнаруживать вредоносные программы даже до того, как данные о них попадают в базу данных сигнатур вирусов. Сканирование соединений по протоколу POP3 не зависит от используемого почтового клиента .

4.1.2.1 Проверка POP3 POP3 — самый распространенный протокол, используемый для получения электронной почты в почтовых клиентах. ESET Mail Security обеспечивает защиту этого протокола вне зависимости от используемого почтового клиента .

Модуль защиты, обеспечивающий эту функцию, автоматически инициируется при запуске операционной системы и остается активным в оперативной памяти. Для нормальной работы модуля убедитесь в том, что он включен. Проверка протокола POP3 осуществляется автоматически без необходимости в какой-либо дополнительной настройке конкретного почтового клиента. По умолчанию сканируются все соединения по порту 110, однако при необходимости могут быть добавлены и другие порты. Номера портов следует разделять запятыми .

Зашифрованное соединение не проверяется .

Для использования фильтрации протокола POP3/POP3S сначала нужно включить фильтрацию протоколов .

Если параметры POP3/POP3S недоступны, перейдите в раздел Защита компьютера Защита от вирусов и шпионских программ Фильтрация протоколов из дерева расширенных параметров и установите флажок Включить фильтрацию содержимого протоколов приложений. Дополнительные сведения о фильтрации и конфигурации см. раздел Фильтрация протоколов .

4.1.2.1.1 Совместимость В некоторых программах для работы с электронной почтой могут возникать проблемы с фильтрацией POP3 (например, при медленном соединении с сервером в процессе получения сообщений могут возникать ошибки времени ожидания). В этом случае попробуйте изменить способ контроля трафика. Снижение уровня контроля может улучшить скорость процесса очистки. Для настройки уровня контроля при фильтрации POP3 из дерева расширенных параметров перейдите в раздел Защита от вирусов и шпионских программ Защита электронной почты POP3, POP3s Совместимость .

Если используется вариант Максимальная эффективность, заражения удаляются из зараженных сообщений, а перед исходной темой сообщения вставляется информация о заражении (должен быть активирован вариант Удалить или Очистить или использоваться уровень очистки Тщательная или По умолчанию) .

Режим средней совместимости изменяет способ получения сообщений. Сообщение постепенно отправляются в почтовый клиент. После передачи сообщения оно сканируется для выявления заражений .

Однако при использовании такого уровня контроля возрастает риск заражения. Уровень очистки и применение уведомлений (текстовой информации, прикрепляемой к теме или телу сообщений) остаются теми же, что и для режима максимальной эффективности .

В режиме максимальной совместимости на экран выводится окно предупреждения, в котором пользователь информируется о получении зараженного сообщения. Никакая информация о зараженных файлах не добавляется в тему или тело доставленных сообщений, а заражения не удаляются автоматически (удалять их нужно в почтовом клиенте) .

4.1.2.2 Интеграция с почтовыми клиентами Интеграция ESET Mail Security с почтовыми клиентами увеличивает уровень активной защиты от вредоносного кода в сообщениях электронной почты. Если используемый почтовый клиент поддерживается, такую интеграцию можно настроить в ESET Mail Security. Если интеграция активирована, панель инструментов защиты от спама ESET Mail Security вставляется непосредственно в почтовый клиент, обеспечивая более эффективную защиту электронной почты. Параметры интеграции доступны в разделе Настройка Ввод всего дерева расширенных параметров... Разное Интеграция с почтовыми клиентами. Интеграция с почтовыми клиентами позволяет активировать интеграцию с поддерживаемыми почтовыми клиентами. В настоящий момент поддерживаются следующие почтовые клиенты: Microsoft Outlook, Outlook Express, почта Windows, почта Windows Live и Mozilla Thunderbird .

Установите флажок Отключить проверку при изменении содержимого папки "Входящие", если при работе с почтовым клиентом наблюдается замедление работы системы. Такая ситуация может возникнуть при загрузке электронной почты из Kerio Outlook Connector Store .

Защита электронной почты активируется в разделе Настройка Ввод всего дерева расширенных параметров... Защита от вирусов и шпионских программ Защита почтового клиента, где нужно выбрать вариант Включить защиту почтового клиента от вирусов и шпионских программ .

4.1.2.2.1 Добавление уведомлений в тело сообщения электронной почты Каждое сообщение электронной почты, просканированное ESET Mail Security, может быть помечено путем добавления уведомления в тему или тело сообщения. Эта функция повышает уровень доверия для получателя, а в случае обнаружения заражения предоставляет важную информацию об уровне угрозы для конкретного сообщения или отправителя .

Параметры для этой функции настраиваются в разделе Дополнительные настройки Защита от вирусов и шпионских программ Защита почтового клиента. Можно выбрать вариант Добавление уведомлений к полученным и прочитанным сообщениям, а также Добавление уведомлений к отправленным сообщениям. Также можно решить, следует ли добавлять уведомления ко всем просканированным сообщениям электронной почты, только к зараженным сообщениям или же не добавлять их вовсе .

ESET Mail Security также позволяет добавлять сообщения к исходной теме зараженного сообщения. Для активации добавления к теме установите и флажок Добавление примечаний в поле темы полученных и прочитанных зараженных сообщений, и флажок Добавление примечаний в поле темы отправленных зараженных сообщений .

Содержимое уведомлений можно изменять в поле Шаблон добавления к теме зараженных писем .

Описанные выше изменения могут помочь автоматизировать процесс фильтрации зараженных сообщений, а также позволяют помещать сообщения с определенной темой (если эта функция поддерживается используемым почтовым клиентом) в отдельную папку .

4.1.2.3 Удаление заражений При получении зараженного сообщения электронной почты на экран выводится окно предупреждения. В этом окне содержатся имя отправителя, адрес его электронной почты и название заражения. В нижней части окна доступны варианты действий для обнаруженного объекта: Очистить, Удалить или Пропустить .

Почти во всех случаях рекомендуется выбирать Очистить или Удалить. В некоторых ситуациях, если нужно получить зараженный файл, можно выбрать Пропустить .

Если включена тщательная очистка, на экран будет выведено информационное окно, в котором нельзя выбрать какое-либо действие .

4.1.3 Защита доступа в Интернет Подключение к Интернету стало стандартной функцией персонального компьютера. К сожалению, Интернет также стал и основной средой распространения злонамеренного кода. Поэтому принципиально важно уделить особое внимание защите доступа в Интернет. Настоятельно рекомендуется установить флажок Включить защиту интернет-соединения от вирусов и шпионских программ. Этот параметр находится в разделе Дополнительные настройки (F5) Защита от вирусов и шпионских программ Защита доступа в Интернет .

4.1.3.1 HTTP, HTTPs Защита доступа в Интернет работает путем отслеживания соединений между веб-браузерами и удаленными серверами в соответствии с правилами протоколов HTTP и HTTPS. По умолчанию программа ESET Mail Security сконфигурирована на использование стандартов большинства веб-браузеров. Однако параметры модуля сканирования HTTP можно изменить в разделе Дополнительные настройки (F5) Защита от вирусов и шпионских программ Защита доступа в Интернет HTTP, HTTPS. В главном окне фильтрации HTTP можно установить или снять флажок Включить проверку HTTP. Также можно указать номера портов, используемых для передачи данных по протоколу HTTP. По умолчанию предварительно заданы номера портов 80, 8080 и 3128. Проверка HTTPs может выполняться в следующих режимах .

Не проверять протокол HTTPS: зашифрованные соединения не будут проверяться .

Проверять протокол HTTPs для выбранных портов: проверка протокола HTTPs выполняется только для портов, указанных в параметре Порты, используемые протоколом HTTPS .

4.1.3.1.1 Управление адресами В этом разделе можно задавать HTTP-адреса, которые будут блокироваться, разрешаться или исключаться из проверки. Кнопки Добавить..., Изменить..., Удалить и Экспорт... позволяют управлять списками адресов. Веб-сайты из списка заблокированных адресов будут недоступны. Веб-сайты из списка исключенных адресов загружаются без сканирования на наличие вредоносного кода. Если выбрать вариант Разрешить доступ только для HTTP-адресов из списка разрешенных адресов, будут доступны только адреса из списка разрешенных, а остальные HTTP-адреса будут заблокированы .

Во всех списках можно использовать символы шаблона «*» (звездочка) и «?» (вопросительный знак). Символ звездочки обозначает любую последовательность символов, а вопросительный знак — любой символ .

Работать с содержимым списка исключенных адресов следует особенно аккуратно, так как он должен содержать только доверенные и безопасные адреса. Точно так же нужно убедиться в том, что символы шаблона в этом списке используются правильно. Чтобы активировать список, установите флажок Список активизирован. Для получения уведомлений при загрузке адреса из текущего списка установите флажок Уведомлять при применении адреса из списка .

4.1.3.1.2 Активный режим В программе ESET Mail Security также есть функция, которая дает пользователю возможность указать, является ли конкретное приложение браузером. Если приложение помечено как браузер, все соединения, осуществляемые этим приложением, отслеживаются вне зависимости от используемых портов .

Функция веб-браузеров дополняет функцию проверки протокола HTTP, так как проверка HTTP выполняется только для предварительно определенных портов. Однако многие веб-службы используют изменяющиеся или неизвестные номера портов. Именно из этих соображений функция веб-браузеров позволяет контролировать все соединения по портам вне зависимости от их параметров .

Перечень приложений, помеченных в качестве веб-браузеров, можно просмотреть непосредственно в подменю Веб-браузеры ветви HTTP, HTTPs. В этом разделе также есть подменю Активный режим, которое определяет режим проверки для веб-браузеров .

Функция Активный режим удобна, так как позволяет проверять все передаваемые данные в целом. Если она отключена, соединения приложений отслеживаются частями в пакетном режиме. Это снижает эффективность процесса проверки данных, но при этом обеспечивает лучшую совместимость для перечисленных приложений. Если при использовании функции не возникает проблем, рекомендуется включить активный режим проверки, установив флажок рядом с нужным приложением .

4.1.4 Сканирование ПК по требованию При наличии подозрения, что компьютер заражен (необычное поведение и т. п.), следует выполнить сканирование компьютера по требованию для проверки наличия заражений. С точки зрения обеспечения безопасности принципиально важно выполнять сканирование компьютера регулярно, а не только при возникновении подозрений. Регулярное сканирование позволяет обнаружить заражения, пропущенные модулем сканирования в режиме реального времени при их записи на диск. Это может произойти, если модуль сканирования в режиме реального времени был отключен или использовалась устаревшая база данных сигнатур вирусов .

Рекомендуется запускать сканирование компьютера по требованию хотя бы раз в месяц. Можно сконфигурировать сканирование в качестве запланированной задачи в разделе Служебные программы Планировщик .

4.1.4.1 Тип сканирования Существует два типа сканирования компьютера по требованию. Сканирование Smart позволяет быстро просканировать систему без настройки каких-либо параметров. Выборочное сканирование... дает возможность выбрать любой предопределенный профиль сканирования, а также указать конкретные объекты сканирования .

4.1.4.1.1 Сканирование Smart Сканирование Smart позволяет быстро запустить сканирование компьютера и очистить зараженные файлы без вмешательства пользователя. Главным преимуществом этого метода является простота использования без подробной настройки сканирования. При сканировании Smart проверяются все файлы на локальных дисках и автоматически очищаются или удаляются обнаруженные заражения. В качестве уровня очистки автоматически выбран уровень по умолчанию. Дополнительную информацию о типах очистки см. в разделе Очистка 67 .

4.1.4.1.2 Выборочное сканирование Выборочное сканирование является оптимальным решением в том случае, когда нужно указать параметры сканирования, такие как объекты и методы сканирования. Преимуществом выборочного сканирования является возможность подробного конфигурирования параметров. Конфигурации можно сохранять в виде пользовательских профилей сканирования, которые удобно использовать, если регулярно выполняется сканирование с одними и теми же параметрами .

Для выбора объектов сканирования перейдите в раздел Сканирование компьютера Выборочное сканирование и выберите один из вариантов из раскрывающегося меню Объекты сканирования или конкретные объекты сканирования в древовидной структуре. Объекты сканирования также можно задать более точно, указав пути к папкам и файлам, которые нужно сканировать. Если нужно только выполнить сканирование системы без дополнительных действий по очистке, установите флажок Сканировать без очистки. Кроме того, можно выбрать один из трех уровней очистки в разделе Настройка... Очистка .

4.1.4.2 Объекты сканирования В раскрывающемся меню объектов сканирования можно выбрать файлы, папки и устройства (диски), которые нужно сканировать на наличие вирусов .

По параметрам профиля : выбираются объекты, заданные в данном профиле сканирования .

Съемные носители : выбираются дискеты, USB-устройства хранения, компакт- и DVD-диски .

Жесткие диски : выбираются все жесткие диски, существующие в системе .

Сетевые диски : выбираются все подключенные сетевые диски .

Ничего не выбирать: отменяется выбор объектов .

Объекты сканирования можно задать более точно, введя путь к папкам или файлам, подлежащим сканированию. Выберите объекты сканирования в древовидной структуре, содержащей все доступные на компьютере устройства .

4.1.4.3 Профили сканирования Предпочтительные параметры сканирования можно сохранить для использования в дальнейшем .

Рекомендуется создать отдельный профиль для каждого регулярно используемого сканирования (с различными объектами, методами сканирования и прочими параметрами) .

Для создания нового профиля откройте окно «Дополнительные настройки» (F5) и нажмите Сканирование ПК по требованию Профили... В окне Профили конфигурации есть раскрывающееся меню, в котором перечисляются существующие профили сканирования, а также есть возможность создать новый. Для создания профиля сканирования в соответствии с конкретными потребностями см. раздел Настройка параметров модуля ThreatSense 65, где описывается каждый параметр, используемый для настройки сканирования .

ПРИМЕР. Предположим, пользователю требуется создать собственный профиль сканирования, причем конфигурация сканирования Smart частично устраивает его, но не нужно сканировать упаковщики или потенциально опасные приложения, но при этом нужно применить тщательную очистку. В окне Профили конфигурации нажмите кнопку Добавить.... Введите имя создаваемого профиля в поле Имя профиля, а затем выберите Сканирование Smart в раскрывающемся меню Копировать настройки профиля. Затем настройте остальные параметры в соответствии со своими потребностями .

4.1.5 Производительность В этом разделе можно задать количество модулей сканирования ThreatSense, которые следует использовать для сканирования на наличие вирусов. Большее количество модулей сканирования ThreatSense на многопроцессорных компьютерах может увеличить скорость сканирования. Приемлемы значения в диапазоне от 1 до 20 .

ПРИМЕЧАНИЕ. Внесенные в этом разделе изменения будут применены только после перезапуска .

4.1.6 Фильтрация протоколов Защита от вирусов протоколов приложений POP3 и HTTP обеспечивается модулем сканирования ThreatSense, в котором объединены все современные методы сканирования для выявления вредоносных программ. Контроль осуществляется автоматически вне зависимости от используемого веб-браузера и почтового клиента. Для фильтрации протоколов доступны перечисленные далее варианты (если установлен флажок Включить фильтрацию содержимого протоколов приложений) .

Порты HTTP и POP3: сканирование ограничивается соединениями по известным портам, используемым протоколами HTTP и POP3 .

Приложения, классифицированные как браузеры Интернета и почтовые клиенты: установите этот флажок, чтобы фильтровать только соединения для приложений, помеченных в качестве браузеров ( Защита доступа в Интернет HTTP, HTTPS Веб-браузеры) или почтовых клиентов (Защита почтового клиента POP3, POP3s Почтовые клиенты) .

Порты и приложения, классифицированные как браузеры Интернета или почтовые клиенты: и порты, и браузеры проверяются на наличие вредоносных программ .

ПРИМЕЧАНИЕ. Начиная с ОС Windows Vista с пакетом обновления 1 и Windows Server 2008, используется новый метод фильтрации соединений. Из-за этого раздел «Фильтрация протоколов» недоступен .

4.1.6.1 SSL ESET Mail Security позволяет проверять инкапсулированные в SSL протоколы. Можно использовать различные режимы сканирования для защищенных SSL соединения, при которых используются доверенные сертификаты, неизвестные сертификаты или сертификаты, исключенные из проверки защищенных SSL соединений .

Всегда сканировать протокол SSL: выберите этот вариант, чтобы сканировать все защищенные SSL соединения за исключением защищенных сертификатами, исключенными из проверки. Если устанавливается новое соединение, использующее неизвестный заверенный сертификат, пользователь получит об этом соответствующее уведомление, а само соединение автоматически будет фильтроваться .

При доступе к серверу с ненадежным сертификатом, который помечен пользователем в качестве доверенного (добавлен в список доверенных сертификатов), соединение с этим сервером разрешается, а содержимое канала связи фильтруется .

Запрашивать о новых сайтах (возможна настройка исключений): при выполнении входа на новый защищенный SSL сайт (с неизвестным сертификатом) на экран выводится диалоговое окно выбора. Этот режим позволяет создавать список сертификатов SSL, которые будут исключены из сканирования .

Не сканировать протокол SSL: если выбран этот параметр, программа не будет сканировать соединения по протоколу SSL .

Если сертификат невозможно проверить, используя хранилище доверенных корневых сертификатов сертифицирующих органов (Фильтрация протоколов SSL Сертификаты), выполняется одно из следующих действий .

Запрашивать действительность сертификата: пользователю предлагается выбрать действие .

Блокировать соединения, использующие сертификат: соединение с сайтом, использующим данный сертификат, разрывается .

Если сертификат недействителен или поврежден (Фильтрация протоколов SSL Сертификаты), выполняется одно из следующих действий .

Запрашивать действительность сертификата: пользователю предлагается выбрать действие .

Блокировать соединения, использующие сертификат: соединение с сайтом, использующим данный сертификат, разрывается .

4.1.6.1.1 Доверенные сертификаты В дополнение к встроенному хранилищу доверенных корневых сертификатов сертифицирующих органов, где программой ESET Mail Security хранятся доверенные сертификаты, можно также создать собственный список доверенных сертификатов, доступный в разделе Дополнительные настройки (F5) Фильтрация протоколов SSL Сертификаты Доверенные сертификаты .

4.1.6.1.2 Исключенные сертификаты В разделе «Исключенные сертификаты» перечислены сертификаты, которые считаются безопасными .

Содержимое зашифрованных соединений, использующих сертификаты из данного списка, не будет проверяться на наличие угроз. Рекомендуется исключать только те веб-сертификаты, которые гарантированно являются безопасными, а соединение с их использованием не нуждается в проверке .

4.1.7 Настройка параметров модуля ThreatSense ThreatSense — это технология, объединяющая ряд сложных методов обнаружения угроз. Эта технология является упреждающей, т. е. она защищает от новой угрозы уже в первые часы ее распространения. При этом используется сочетание нескольких методов (анализ кода, моделирование кода, обобщенные сигнатуры, сигнатуры вирусов), которые совместно значительно повышают уровень безопасности компьютера. Модуль сканирования может контролировать несколько потоков данных одновременно, что делает эффективность и количество обнаруживаемых угроз максимальными. Технология ThreatSense также успешно уничтожает руткиты .

Для технологии ThreatSense можно настроить несколько параметров сканирования:

типы и расширения файлов, подлежащих сканированию;

сочетание различных методов обнаружения;

уровни очистки и т. д .

Для того чтобы открыть окно параметров, нажмите кнопку Настройка... в окне параметров любого модуля, использующего технологию ThreatSense (см. ниже). Разные сценарии обеспечения безопасности требуют различных настроек, поэтому технологию ThreatSense можно настроить отдельно для каждого из перечисленных далее модулей защиты .

Защита файловой системы в режиме реального времени 51 Проверка файлов, исполняемых при запуске системы Защита электронной почты 54 Защита доступа в Интернет 58 Сканирование ПК по требованию 61 Параметры ThreatSense хорошо оптимизированы для каждого из модулей, а их изменение ведет к существенным изменениям в поведении системы. Например, изменение параметров так, чтобы всегда сканировались упаковщики, или включение расширенной эвристики в модуле защиты файловой системы в режиме реального времени, может замедлить работу системы (обычно только новые файлы сканируются с применением этих методов). В связи с этим рекомендуется не изменять параметры ThreatSense по умолчанию ни для каких модулей, кроме модуля «Сканирование ПК по требованию» .

4.1.7.1 Настройка объектов В разделе Объекты можно указать компоненты и файлы, которые должны сканироваться на наличие заражений .

Оперативная память: выполняется сканирование на наличие угроз, которые атакуют оперативную память системы .

Загрузочные секторы: загрузочные секторы сканируются на наличие вирусов в основной загрузочной записи .

Файлы: сканируются файлы всех часто используемых типов (программы, изображения, звуковые и видеофайлы, файлы баз данных и т. д.) .

Почтовые файлы: сканируются особые файлы, в которых хранятся сообщения электронной почты .

Архивы: сканируются сжатые файлы в архивах.rar,.zip,.arj,.tar и т. д .

Самораспаковывающиеся архивы: сканируются файлы, запакованные в самораспаковывающихся архивах, которые обычно имеют расширение.exe .

Упаковщики: сканируются упаковщики, которые в отличие от стандартных архивов распаковывают файлы динамически в системную память, и стандартные статические упаковщики (UPX, yoda, ASPack, FGS и т. д.) .

4.1.7.2 Параметры В разделе Параметры можно выбрать методы, которые будут использоваться при сканировании системы на наличие заражений. Доступны следующие варианты:

Сигнатуры: сигнатуры представляют собой надежный и точный метод обнаружения и выявления заражений по имени с применением базы данных сигнатур вирусов .

Эвристика: при эвристическом анализе используются алгоритмы, которые анализируют вредоносную активность программ. Основным преимуществом обнаружения путем эвристического анализа является возможность обнаруживать новые вредоносные программы, сведения о которых еще не попали в список известных вирусов (базу данных сигнатур вирусов) .

Расширенная эвристика: расширенная эвристика представляет собой уникальный эвристический алгоритм, разработанный компанией ESET и оптимизированный для обнаружения компьютерных червей и троянских программ, написанных на языках программирования высокого уровня. Расширенная эвристика значительно увеличивает возможности программы по обнаружению .

Рекламное/шпионское/опасное ПО: к этой категории относится программное обеспечение, которое собирает различную конфиденциальную информацию о пользователях без их согласия. Также к ней относится программное обеспечение, выводящее на экран рекламные материалы .

Потенциально нежелательное ПО: потенциально нежелательные приложения не обязательно являются вредоносными, но могут негативно влиять на производительность системы. Обычно для установки таких приложений запрашивается согласие пользователя. После их установки поведение системы изменяется (по сравнению с тем, как она вела себя до установки этих приложений). Наиболее существенные изменения связаны с возникновением нежелательных всплывающих окон, запуском и работой скрытых процессов, увеличением уровня использования системных ресурсов, изменениями результатов поиска и обменом данными с удаленными серверами .

Потенциально опасное ПО: к потенциально опасным приложениям относится нормальное коммерческое программное обеспечение. Это в том числе средства удаленного доступа. По умолчанию этот параметр отключен .

4.1.7.3 Очистка Параметры процесса очистки определяют поведение модуля сканирования при очистке зараженных файлов. Предусмотрено три описанных далее уровня очистки .

Без очистки: зараженные файлы не очищаются автоматически. Программа выводит на экран предупреждение и предлагает пользователю выбрать нужное действие .

Стандартная очистка: программа пытается автоматически очистить или удалить зараженный файл. При невозможности выбрать необходимое действие автоматически программа предлагает сделать выбор пользователю. Выбор пользователю предоставляется и в том случае, если предварительно заданное действие не может быть выполнено .

Тщательная очистка: программа очищает или удаляет все зараженные файлы (в том числе архивы) .

Единственное исключение составляют системные файлы. Если файлы невозможно очистить, на экран выводится предупреждение с предложением выбрать действие .

Внимание: В используемом по умолчанию режиме архив удаляется целиком только в том случае, если все файлы в нем заражены. Если в архиве есть нормальные файлы, он не удаляется. Если зараженный архив обнаруживается в режиме тщательной очистки, он удаляется целиком, даже если в нем есть незараженные файлы .

4.1.7.4 Расширения Расширением называется часть имени файла, отделенная от основной части точкой. Расширение определяет тип файла или его содержимого. Этот раздел параметров ThreatSense позволяет определить типы файлов, подлежащих сканированию .

По умолчанию сканируются все файлы независимо от их расширения. Любое расширение можно добавить в список файлов, исключенных из сканирования. Если снят флажок Сканировать все файлы, список меняется для отображения всех расширений файлов, которые сейчас подвергаются сканированию. С помощью кнопок Добавить и Удалить можно включать или запрещать сканирование для тех или иных расширений .

Для того чтобы включить сканирование файлов без расширений, установите флажок Сканировать файлы без расширений .

Иногда может быть необходимо исключить файлы из сканирования, если сканирование определенных типов файлов препятствует нормальной работе программы, которая использует эти расширения .

Например, может быть полезно исключить расширения.edb,.eml и.tmp при использовании серверов Microsoft Exchange .

4.1.7.5 Ограничения В разделе «Ограничения» можно указать максимальный размер объектов и уровни вложенности архивов для сканирования .

Максимальный размер объекта: определяет максимальный размер объектов, подлежащих сканированию .

Данный модуль защиты от вирусов будет сканировать только объекты меньше указанного размера. Не рекомендуется изменять значение по умолчанию, так как обычно это не нужно. Этот параметр предназначен для опытных пользователей, которым необходимо исключить большие объекты из сканирования .

Максимальное время сканирования, в секундах: определяет максимальное время для сканирования объекта. Если пользователь укажет здесь собственное значение, модуль защиты от вирусов прекратит сканирование объекта по истечении указанного времени вне зависимости от того, было ли сканирование завершено .

Уровень вложенности архива: определяет максимальную глубину сканирования архивов. Не рекомендуется изменять значение по умолчанию, равное 10; в обычных условиях для этого нет особой причины. Если сканирование преждевременно прерывается из-за превышения уровня вложенности, архив остается непроверенным .

Максимальный размер файла в архиве: этот параметр позволяет указать максимальный размер файлов в архиве (после извлечения), подлежащих сканированию. Если этот параметр прерывает сканирование архива до завершения, то архив останется непроверенным .

4.1.7.6 Другое Сканировать альтернативные потоки данных (ADS): альтернативные потоки данных используются файловой системой NTFS для связей файлов и папок, которые не видны для обычных методов сканирования. Многие заражения маскируются под альтернативные потоки данных, пытаясь избежать обнаружения .

Запустить фоновое сканирование с низким приоритетом: каждый процесс сканирования потребляет некоторое количество системных ресурсов. Если пользователь работает с ресурсоемкими программами, можно активировать фоновое сканирование с низким приоритетом и высвободить тем самым ресурсы для других приложений .

Регистрировать все объекты: если этот флажок установлен, в файле журнала будет содержаться информация обо всех просканированных файлах, в том числе незараженных .

Включить оптимизацию Smart: установите этот флажок, чтобы уже просканированные файлы не сканировались повторно, пока не будут изменены. Файлы сканируются повторно сразу после каждого обновления базы данных сигнатур вирусов .

Сохранить отметку о времени последнего доступа: установите этот флажок, чтобы сохранять исходную отметку о времени доступа к сканируемым файлам, не обновляя ее (например, для использования с системами резервного копирования данных) .

Прокрутить журнал: этот параметр позволяет включать и отключать прокрутку журнала. Если флажок установлен, в окне можно прокручивать отображаемую информацию вверх .

Показывать уведомление о завершении сканирования в отдельном окне: открывает отдельное окно с информацией о результатах сканирования .

4.1.8 Обнаружение заражения Заражения могут попасть на компьютер из различных источников: веб-сайты, общие папки, электронная почта или съемные носители (USB-устройства, внешние диски, компакт-диски, DVD-диски и т. д.) .

Если на компьютере возникли признаки заражения вредоносной программой (например, он стал медленнее работать, часто зависает и т. п.), рекомендуется выполнить следующие действия .

Откройте ESET Mail Security и нажмите «Сканирование компьютера» .

Нажмите Сканирование Smart (Дополнительные сведения см. в разделе Сканирование Smart 62 ) После окончания сканирования проверьте количество просканированных, зараженных и очищенных файлов в журнале .

Если следует сканировать только определенную часть диска, выберите вариант Выборочное сканирование и укажите объекты, которые нужно сканировать на предмет наличия вирусов .

Ниже описан общий случай работы ESET Mail Security с заражениями. Предположим, что заражение обнаружено модулем защиты файловой системы в режиме реального времени при уровне очистки по умолчанию. Модуль попытается очистить или удалить файл. Если действие по умолчанию для модуля защиты в режиме реального времени не определено, его предлагается выбрать пользователю в специальном окне предупреждения. Обычно доступны действия Очистить, Удалить и Пропустить. Не рекомендуется выбирать вариант Пропустить, так как в этом случае зараженные файлы останутся на компьютере. Исключением может быть ситуация, когда имеется полная уверенность в том, что файл безвреден и был обнаружен по ошибке .

Очистка и удаление: примените очистку, если полезный файл был атакован вирусом, который добавил вредоносный код к полезному. В этом случае сначала программа пытается очистить зараженный файл, чтобы восстановить его первоначальное состояние. Если файл содержит только вредоносный код, его следует удалить .

Если зараженный файл заблокирован или используется каким-либо системным процессом, обычно он удаляется только после освобождения. Как правило, это происходит после перезапуска системы .

Удаление файлов из архивов: в режиме очистки по умолчанию архив удаляется целиком только в том случае, если он содержит только зараженные файлы. Иначе говоря, архивы, в которых есть незараженные файлы, не удаляются. Однако следует проявлять осторожность при сканировании в режиме тщательной очистки, так как в этом режиме архив удаляется, если содержит хотя бы один зараженный файл, независимо от состояния других файлов в архиве .

4.2 Обновление программы

Регулярное обновление ESET Mail Security — основное условие обеспечения максимально высокого уровня безопасности. Модуль обновления поддерживает актуальность программы двумя способами: путем обновления базы данных сигнатур вирусов и путем обновления компонентов системы .

Выбрав пункт Обновление в главном меню, можно получить информацию о текущем состоянии обновления, в том числе дату и время последнего успешно выполненного обновления, а также сведения о необходимости обновления. Также в основном окне указывается версия базы данных сигнатур вирусов .

Этот числовой индикатор представляет собой активную ссылку на страницу веб-сайта ESET, где перечисляются все сигнатуры, добавленные при данном обновлении .

Кроме того, есть функция для запуска процесса обновления принудительно (Обновить базу данных сигнатур вирусов), а также основные параметры обновления, такие как имя пользователя и пароль для доступа к серверам обновлений ESET .

Нажмите ссылку Активация программы, чтобы открыть форму регистрации, в которой вы сможете активировать свой программный продукт обеспечения безопасности ESET, после чего получите по электронной почте сообщение с данными аутентификации (имя пользователя и пароль) .

ПРИМЕЧАНИЕ: Имя пользователя и пароль предоставляются компанией ESET после приобретения программы ESET Mail Security .

4.2.1 Настройка обновлений В разделе параметров обновления указывается информация об источниках обновлений, такая как серверы обновлений и данные аутентификации для них. По умолчанию в раскрывающемся меню Сервер обновлений выбран параметр Выбирать автоматически, обеспечивающий автоматическую загрузку файлов обновлений с сервера ESET с минимальным расходом трафика. Параметры обновлений доступны в дереве расширенных параметров (клавиша F5) раздела Обновление .

Список доступных серверов обновлений можно просмотреть с помощью раскрывающегося меню Сервер обновлений. Для добавления нового сервера обновлений нажмите кнопку Изменить… в разделе Обновить настройки выбранного профиля, а затем кнопку Добавить. Для аутентификации на серверах обновлений используются имя пользователя и пароль, созданные и отправленные вам после покупки .

4.2.1.1 Профили обновления Профили обновления можно создавать для различных конфигураций и задач обновления. Создание профилей обновления особенно полезно для пользователей мобильных устройств, которые могут создать вспомогательный профиль в случае, когда свойства подключения к Интернету регулярно меняются .

В раскрывающемся меню Выбранный профиль отображается текущий профиль. По умолчанию это Мой профиль. Для создания нового профиля нажмите кнопку Профили..., затем Добавить... и введите нужное Имя профиля. При создании нового профиля можно скопировать параметры из уже существующего профиля, выбрав его в раскрывающемся меню Копировать настройки профиля .

В окне настройки профиля можно выбрать сервер обновлений из списка доступных серверов или добавить новый. Список существующих серверов обновлений можно просмотреть с помощью раскрывающегося меню Сервер обновлений. Для добавления нового сервера обновлений нажмите кнопку Изменить… в разделе Обновить настройки выбранного профиля, а затем кнопку Добавить .

4.2.1.2 Дополнительные настройки обновления Для просмотра расширенных параметров обновления нажмите кнопку Настройка.... Расширенные параметры обновления позволяют настроить режим обновления, прокси HTTP, локальную сеть и зеркало .

4.2.1.2.1 Режим обновления Вкладка «Режим обновления» содержит параметры обновления программы .

В разделе Обновление компонентов программы доступно три описанных далее варианта .

Никогда не обновлять компоненты программы: появляющиеся обновления компонентов программы не будут загружаться .

Выполнять обновление компонентов программы, если доступно: появляющиеся обновления компонентов программы будут устанавливаться автоматически .

Запросить подтверждение перед загрузкой компонентов: Вариант по умолчанию. Пользователю будет предлагаться подтвердить обновление компонентов программы или отказаться от него, когда такое обновление становится доступно .

После обновления компонентов программы может быть необходимо перезапустить компьютер, чтобы все модули работали полностью корректно. В разделе Перезапустить после обновления компонентов программы можно выбрать один из следующих вариантов .

Никогда не перезапускать компьютер Предложить перезапуск компьютера, если необходимо Если необходимо, перезапустить компьютер без уведомления По умолчанию выбран вариант Предложить перезапуск компьютера, если необходимо. Наиболее подходящий вариант зависит от конкретной рабочей станции, на которой будут применяться параметры .

Необходимо помнить о том, что существует разница между рабочими станциями и серверами. Например, автоматический перезапуск сервера после обновления программы может привести к серьезным проблемам .

4.2.1.2.2 Прокси-сервер В ESET Mail Security настройку прокси-сервера можно выполнить в двух разных разделах дерева расширенных параметров .

Во-первых, параметры прокси-сервера можно сконфигурировать в разделе Разное Прокси-сервер .

Настройка прокси-сервера на этом уровне позволяет задать его параметры для программы ESET Mail Security в целом. Они используются всеми модулями программы, которым требуется подключение к Интернету .

Для настройки параметров прокси-сервера на этом уровне установите флажок Использовать проксисервер, а затем введите адрес прокси-сервера в поле Прокси-сервер и номер порта в соответствующее поле .

Если требуется аутентификация на прокси-сервере, установите флажок «Прокси-сервер требует аутентификации», а затем укажите имя пользователя и пароль в соответствующих полях. Нажмите кнопку Найти прокси-сервер, чтобы автоматически определить параметры прокси-сервера и вставить их .

Будут скопированы параметры, указанные в Internet Explorer .

ПРИМЕЧАНИЕ: Эта функция не позволяет получить данные аутентификации (имя пользователя и пароль), их пользователь должен указать самостоятельно .

Также параметры прокси-сервера можно настроить в разделе «Дополнительные настройки обновления». В этом случае параметры применяются к конкретному профилю обновления. Параметры прокси-сервера для конкретного профиля обновления можно открыть, перейдя на вкладку Прокси HTTP в разделе Дополнительные настройки обновления. Здесь можно выбрать один из трех вариантов .

Использовать общие параметры прокси-сервера Не использовать прокси-сервер «Соединение через прокси-сервер» (указываются параметры подключения) .

Если выбрать вариант Использовать общие параметры прокси-сервера, будут использоваться параметры прокси-сервера, уже заданные в разделе Разное Прокси-сервер дерева расширенных параметров (как описано в начале данной статьи) .

Выберите вариант Не использовать прокси-сервер, чтобы указать, что не будет использоваться проксисервер для обновления ESET Mail Security .

Вариант Соединение через прокси-сервер следует выбрать, если для обновления ESET Mail Security нужно использовать прокси-сервер, причем он отличается от указанного в общие параметрах (Разное Проксисервер). В этом случае нужно указать параметры: адрес (поле Прокси-сервер), порт для соединения, а также при необходимости имя пользователя и пароль .

Также этот вариант следует выбрать, если общие параметры прокси-сервера заданы не были, но при этом ESET Mail Security будет подключаться к прокси-серверу для получения обновлений .

По умолчанию выбран вариант Использовать общие параметры прокси-сервера .

4.2.1.2.3 Подключение к локальной сети При обновлении с локального сервера под управлением операционной системы на базе NT по умолчанию требуется аутентификация всех сетевых подключений. Чаще всего у локальной учетной записи системы недостаточно прав для доступа к папке зеркала (папке, в которой хранятся копии файлов обновления). В этом случае введите имя пользователя и пароль в разделе параметров обновления или укажите существующую учетную запись, под которой программа сможет получить доступ к серверу обновлений (зеркалу) .

Для конфигурирования такой учетной записи перейдите на вкладку Локальная сеть. В разделе Подключение к локальной сети можно выбрать один из следующих вариантов: Учетная запись системы (по умолчанию), Текущий пользователь и Указанный пользователь .

Выберите Учетная запись системы (по умолчанию), чтобы использовать для аутентификации учетную запись системы. Если данные аутентификации в главном разделе параметров обновлений не указаны, как правило, процесса аутентификации не происходит .

Для того чтобы программа использовала для аутентификации учетную запись, под которой в данный момент выполнен вход в систему, выберите вариант Текущий пользователь. Недостаток этого варианта заключается в том, что программа не может подключиться к серверу обновлений, если в данный момент ни один пользователь не выполнил вход в систему .

Выберите «Указанный пользователь», если нужно указать учетную запись пользователя для аутентификации .

Внимание: Если выбран вариант Текущий пользователь или Указанный пользователь, может произойти ошибка при изменении учетной записи программы. В главном разделе параметров обновления рекомендуется указывать данные аутентификации в локальной сети. В этом разделе параметров обновлений данные аутентификации нужно указать в следующем формате: имя_домена\пользователь (а для рабочей группы рабочая_группа\имя) и пароль. При обновлении по протоколу HTTP с локального сервера аутентификация не требуется .

4.2.1.2.4 Создание копий обновлений, зеркало ESET Mail Security позволяет создавать копии файлов обновлений, которые могут использоваться для обновления других рабочих станций в сети. Обновление клиентских рабочих станций с зеркала оптимизирует трафик в сети и сокращает объем потребляемого интернет-трафика .

Параметры конфигурации локального сервера зеркала можно найти (после добавления действительного лицензионного ключа в менеджере лицензий, который расположен в разделе «Дополнительные настройки»

ESET Mail Security), воспользовавшись разделом Дополнительные настройки обновления. Для доступа к этому разделу нажмите клавишу F5 и выберите Обновление в дереве расширенных параметров, после чего нажмите кнопку Настройка... рядом с пунктом Дополнительные настройки обновления и перейдите на вкладку Зеркало .

На первом этапе настройки зеркала нужно выбрать вариант «Создать зеркало обновления». После этого становятся доступны другие параметры настройки зеркала, такие как способ доступа к файлам обновлений и путь к файлам зеркала .

Методы активации зеркала подробно описываются в разделе Обновление с зеркала 78. Пока что достаточно заметить, что существует два основных метода доступа к зеркалу: папка с файлами обновлений может существовать как общая сетевая папка или как HTTP-сервер .

Папка, предназначенная для хранения файлов обновлений, указывается в разделе Папка для дублируемых файлов. Нажмите Папка…, чтобы найти нужную папку на локальном компьютере или в общей сетевой папке. Если для указанной папки нужна авторизация, данные аутентификации должны быть указаны в полях Имя пользователя и Пароль. Имя пользователя и пароль следует вводить в формате Домен/ Пользователь или Рабочая_группа/Пользователь. Не забудьте ввести соответствующие пароли .

При настройке зеркала пользователь также может указать языковые версии, для которых нужно загружать копии обновлений. Настройка языковых версий доступна в разделе Файлы — Доступные версии .

ПРИМЕЧАНИЕ: Базу данных модуля защиты от спама невозможно обновлять с зеркала. Для получения дополнительных сведений о том, как обеспечить корректное обновление базы данных модуля защиты от спама, воспользуйтесь этой ссылкой 38 .

4.2.1.2.4.1 Обновление с зеркала Существует два основных метода настройки зеркала: папка с файлами обновлений может существовать как общая сетевая папка или как HTTP-сервер .

Доступ к файлам зеркала с помощью внутреннего сервера HTTP Это вариант по умолчанию, выбранный в предварительно заданной конфигурации программы. Для обеспечения доступа к зеркалу с помощью HTTP-сервера перейдите в раздел Дополнительные настройки обновления (вкладка Зеркало) и выберите вариант Создать зеркало обновления .

В разделе Дополнительные настройки вкладки Зеркало можно указать Порт сервера, на котором HTTPсервер будет принимать запросы, а также тип аутентификации, используемой HTTP-сервером. По умолчанию порт сервера имеет значение 2221. В параметре Аутентификация определяется метод аутентификации, используемый для доступа к файлам обновлений.

Доступны следующие варианты:

Ничего, Основное и NTLM. Для того чтобы использовать кодирование base64 и упрощенную аутентификацию по имени пользователя и паролю, выберите Основное. Вариант NTLM обеспечивает шифрование за счет метода безопасного шифрования. Для аутентификации используется учетная запись пользователя, созданная на рабочей станции, которая предоставляет общий доступ к файлам обновлений .

Значение по умолчанию — Ничего. Этот вариант дает доступ к файлам обновлений без аутентификации .

Внимание: Если планируется организовать доступ к файлам обновлений с помощью HTTP-сервера, папка зеркала должна находиться на том же компьютере, что и экземпляр ESET Mail Security, который ее создает .

После завершения настройки зеркала следует воспользоваться рабочими станциями и добавить новый сервер обновлений в формате http://IP-адрес_вашего_сервера:2221. Для этого выполните следующие действия .

Откройте раздел ESET Mail Security Дополнительные настройки и нажмите Обновление .

Нажмите Изменить… справа от раскрывающегося меню Сервер обновлений и добавьте новый сервер в формате http://IP_адрес_вашего_сервера:2221 .

Выберите вновь добавленный сервер из списка серверов обновлений .

Доступ к зеркалу через общий системный ресурс Сначала необходимо создать общую папку на локальном или сетевом устройстве. При создании папки для зеркала необходимо предоставить права на запись пользователю, который будет размещать в ней файлы обновлений, и права на чтение всем пользователям, которые будут получать обновления ESET Smart Security из папки зеркала .

Далее следует сконфигурировать доступ к зеркалу в разделе Дополнительные настройки обновления (вкладка Зеркало), сняв флажок Передавать файлы обновления с помощью внутреннего сервера HTTP .

Этот вариант включен по умолчанию после установки программы .

Если общая папка расположена на другом компьютере в сети, необходимо указать данные аутентификации для доступа к этому компьютеру. Для ввода данных аутентификации откройте раздел «Дополнительные настройки» ESET Mail Security (F5) и выберите ветвь Обновление. Нажмите кнопку Настройка... и перейдите на вкладку Локальная сеть. Этот параметр аналогичен используемому для обновления и описан в разделе Подключение к локальной сети 76 .

После окончания настройки зеркала укажите на рабочих станциях адрес нового сервера обновлений в формате \\UNC-ИМЯ_КОМПЬЮТЕРА\ПУТЬ. Это действие можно выполнить следующим образом .

Откройте раздел «Дополнительные настройки» ESET Mail Security и нажмите Обновление .

Нажмите Изменить... рядом с пунктом «Сервер обновлений» и добавьте новый сервер в формате \\UNCИМЯ_КОМПЬЮТЕРА\ПУТЬ .

Выберите вновь добавленный сервер из списка серверов обновлений .

ПРИМЕЧАНИЕ: Для корректной работы путь к папке зеркала в этом случае должен быть указан в формате UNC. Обновления с сопоставленных сетевых дисков могут не работать .

4.2.1.2.4.2 Устранение проблем при обновлении с зеркала В большинстве случаев проблемы при обновлении с сервера зеркала возникают в связи с одной или несколькими из следующих причин: неверное указание параметров папки зеркала, неверные данные аутентификации для папки зеркала, неверные параметры на рабочих станциях, которые пытаются загружать файлы обновлений с зеркала, а также различные сочетания этих причин. Ниже приведен краткий обзор наиболее часто возникающих проблем при обновлении с зеркала .

Ошибка при подключении ESET Mail Security к серверу зеркала: обычно происходит при указании неправильных данных сервера обновлений (сетевого пути к папке зеркала), с которого рабочие станции загружают обновления. Для проверки папки нажмите кнопку Пуск Windows, выберите Выполнить, вставьте имя папки и нажмите кнопку ОК. На экран должно быть выведено содержимое папки .

ESET Mail Security запрашивает имя пользователя и пароль: вероятная причина заключается в том, что введены неверные данные аутентификации (имя пользователя и пароль) в разделе обновлений. Имя пользователя и пароль используются для доступа к серверу обновлений, с которого выполняется обновление программы. Убедитесь, что данные аутентификации указаны верно и в правильном формате .

Например, Домен/Имя_пользователя или Рабочая_группа/ имя_пользователя в сочетании с соответствующим паролем. Если сервер зеркала доступен всем участникам сети, это не означает, что у любого пользователя есть к нему доступ. Параметр «Все участники» означает то, что папка доступна всем пользователям домена, а не то, что предоставляется доступ без авторизации. В результате, если папка доступна всем участникам, все же необходимо указать доменное имя пользователя и пароль в настройках обновления .

Ошибка при подключении ESET Mail Security к серверу зеркала: обмен данными по указанному порту подключения к HTTP-версии зеркала блокируется .

4.2.2 Создание задач обновления Обновление можно запустить вручную с помощью функции Обновить базу данных сигнатур вирусов в основном окне, которое появляется после выбора пункта «Обновление» в главном меню .

Обновления также можно выполнять как запланированную задачу. Для конфигурирования запланированной задачи перейдите в раздел Служебные программы Планировщик. По умолчанию в ESET Mail Security активированы указанные ниже задачи .

Peгyляpнoe aвтoмaтичecкoe oбнoвлeниe Aвтoмaтичecкoe oбнoвлeниe пocлe ycтaнoвки коммутируемого соединения Aвтoмaтичecкoe oбнoвлeниe пocлe вxoдa пoльзoвaтeля в cиcтeмy Каждую задачу обновления можно изменить в соответствии с конкретными требованиями. В дополнение к существующим по умолчанию задачам обновления можно создать другие задачи с пользовательскими настройками. Дополнительную информацию о создании и настройке задач обновления см. в разделе Планировщик 80 .

4.3 Планировщик

Планировщик доступен, если в ESET Mail Security активирован расширенный режим. Перейти к планировщику можно через главное меню ESET Mail Security, воспользовавшись пунктом Служебные программы. В планировщике содержится полный список всех запланированных задач и их свойства, такие как заданные дата, время и используемый профиль сканирования .

По умолчанию в планировщике отображаются следующие запланированные задачи .

Peгyляpнoe aвтoмaтичecкoe oбнoвлeниe Aвтoмaтичecкoe oбнoвлeниe пocлe ycтaнoвки коммутируемого соединения Aвтoмaтичecкoe oбнoвлeниe пocлe вxoдa пoльзoвaтeля в cиcтeмy Автоматическая проверка файлов при запуске (после входа пользователя в систему) Автоматическая проверка файлов при запуске (после обновления базы данных сигнатур вирусов) Для изменения параметров существующей запланированной задачи (как существующей по умолчанию, так и пользовательской) щелкните нужную задачу правой кнопкой мыши и выберите в контекстном меню пункт Изменить... или выделите задачу, которую необходимо изменить, и нажмите кнопку Изменить... .

4.3.1 Цель планирования задач Планировщик управляет запланированными задачами и запускает их с предварительно заданными параметрами и свойствами. Параметры содержат информацию, такую как дата и время исполнения, а также профили обновления, которые следует использовать при выполнении задачи .

4.3.2 Создание новых задач Для создания задачи в планировщике нажмите кнопку Добавить... или щелкните правой кнопкой мыши и выберите в контекстном меню команду Добавить.... Доступно пять типов задач .

Запуск внешнего приложения Проверка файлов, исполняемых при запуске системы Создать снимок состояния компьютера Сканирование ПК по требованию Обновление Поскольку обновление — одна из самых часто используемых запланированных задач, ниже описано добавление задачи обновления .

В раскрывающемся меню Запланированная задача выберите пункт Обновление. Нажмите кнопку Далее и введите название задачи в поле Название задачи. Выберите частоту выполнения задачи. Доступны следующие варианты: Однократно, Многократно, Ежедневно, Еженедельно и При определенных условиях. В зависимости от указанной частоты запуска будут запрошены различные параметры обновления. Затем укажите, какое действие следует предпринимать, если задача не может быть выполнена в установленное время. Доступны следующие три варианта .

Ждать до следующего намеченного момента Выполнить задачу как можно скорее Выполнить задачу немедленно, если время, прошедшее с последнего запуска, превысило указанный интервал (интервал можно указать с помощью параметра «Интервал между задачами») На следующем этапе отображается сводная информация о текущей запланированной задаче. Пункт Запустить задачу с указанными параметрами автоматически выбран. Нажмите кнопку Готово .

На экран будет выведено диалоговое окно, в котором можно выбрать профили, используемые для запланированной задачи. Можно выбрать основной профиль и вспомогательный, который будет использоваться, если задачу невозможно выполнить с применением основного профиля. Подтвердите настройки, нажав кнопку ОК в окне Профили обновления. Новая задача появится в списке существующих запланированных .

4.4 Карантин

Главная задача карантина заключается в безопасном хранении зараженных файлов. Файлы следует помещать на карантин, если они не могут быть очищены или безопасно удалены, если удалять их не рекомендуется или если они ошибочно отнесены программой ESET Mail Security к зараженным .

Поместить на карантин можно любой файл. Рекомендуется помещать на карантин файлы с подозрительной активностью, которые, тем не менее, не обнаруживаются модулем сканирования защиты от вирусов .

Файлы на карантине можно отправить на анализ в лабораторию ESET .

Информацию о файлах, помещенных на карантин, можно просмотреть в виде таблицы, содержащей дату и время помещения файла на карантин, путь к его исходному расположению, его размер в байтах, причину помещения файла на карантин (например, мнение пользователя об объекте) и количество обнаруженных угроз (например, если архив содержит несколько вирусов) .

4.4.1 Помещение файлов на карантин Программа ESET Mail Security автоматически помещает удаленные файлы на карантин (если этот параметр не был отменен пользователем в окне предупреждения). При желании любой подозрительный файл можно поместить на карантин вручную с помощью кнопки Карантин.... При этом исходная копия файла не удаляется. Для этого также можно воспользоваться контекстным меню, нажав правой кнопкой мыши в окне Карантин и выбрав пункт Добавить... .

4.4.2 Восстановление из карантина Файлы, находящиеся на карантине, можно восстановить в исходном месте. Для этого используется функция Восстановить. Команда Восстановить доступна в контекстном меню, которое открывается правым щелчком мыши по нужному файлу в окне «Карантин». Контекстное меню содержит также функцию Восстановить в, которая позволяет восстановить файл в месте, отличном от исходного .

ПРИМЕЧАНИЕ. Если программа поместила незараженный файл на карантин по ошибке, исключите этот файл из процесса сканирования после восстановления и отправьте его в службу поддержки клиентов ESET .

4.4.3 Отправка файла из карантина Если на карантин помещен подозрительный файл, не обнаруженный программой, или файл неверно квалифицирован как зараженный (например, путем эвристического анализа кода) и помещен на карантин, отправьте его в лабораторию ESET. Чтобы отправить файл из карантина, щелкните его правой кнопкой мыши и выберите в контекстном меню пункт Передать на анализ .

4.5 Файлы журнала В журналах хранится информация о важных событиях: обнаруженные заражения, журналы сканирование по требованию, журналы резидентных модулей сканирования и системная информация .

В журналах защиты от спама и защиты путем работы с «серыми» списками (находятся среди других журналов в разделе Служебные программы Файлы журнала) приводятся подробные сведения о сообщениях, которые были подвергнуты сканированию, и дальнейших действиях, примененных к таким сообщениям. Журналы могут быть очень полезны при поиске недоставленной электронной почты, выяснении того, почему какое-либо сообщение было помечено как спам, и т. п .

Модуль защиты от спама Все сообщения, классифицированные ESET Mail Security как спам или вероятный спам, регистрируются здесь .

Описание столбцов Время — время записи в журнал защиты от спама .

Отправитель — адрес отправителя .

Получатель — адрес получателя .

Тема — тема сообщения .

Оценка — оценка нежелательности, присвоенная сообщению (в диапазоне от 0 до 100) .

Причина — указание того, что вызвало классификацию сообщения как спама. Приводится наиболее серьезная причина. Если нужно просмотреть другие причины, дважды щелкните запись. На экран будет выведено окно Причина, в котором содержатся остальные причины в порядке убывания серьезности .

–  –  –

Получено — время, когда сообщение было получено сервером .

ПРИМЕЧАНИЕ. Если сообщения получаются через сервер электронной почты, значения времени в полях Время и Получено практически одинаковы .

Работа с "серыми" списками Все сообщения, которые оценивались с применением метода работы с «серыми» списками, регистрируются в этом журнале .

Описание столбцов Время — время записи в журнал защиты от спама .

Домен HELO — имя домена, использованное отправляющим сервером для идентификации перед принимающим сервером .

IP-адрес — IP-адрес отправителя .

Отправитель — адрес отправителя .

Получатель — адрес получателя .

Действие — столбец, который может содержать одно из перечисленных далее состояний .

–  –  –

Оставшееся время — время, оставшееся до окончания периода Ограничение времени для первоначального отклонения подключения Обнаруженные угрозы Журнал угроз содержит подробную информацию о заражениях, обнаруженных модулями ESET Mail Security .

Регистрируется информация о времени обнаружения, типе модуля сканирования, типе объекта, имени объекта, имени заражения, месте обнаружения, выполненном действии и пользователе, который находился в системе при обнаружении заражения. Для копирования или удаления одной или нескольких строк журнала (или удаления всего журнала) используйте контекстное меню .

Coбытия Журнал событий содержит информацию о событиях и ошибках, которые произошли во время работы программы. Зачастую информация, которая содержится в этом журнале, оказывается весьма полезной при решении проблем, возникающих в работе программы .

Сканирование ПК по требованию Журнал модуля сканирования содержит информацию о результатах запущенного вручную сканирования или запланированного сканирования. Каждая строка соответствует одной проверке компьютера. Она содержит следующие данные: дата и время сканирования, общее количество просканированных, зараженных и очищенных фалов и текущее состояние сканирования .

Дважды щелкните запись в журнале сканирования ПК по требованию, чтобы вывести на экран подробное содержимое в новом окне .

Для того чтобы скопировать одну или несколько помеченных записей (из любого типа журнала), используйте контекстное меню (открывается щелчком правой кнопки мыши) .

4.5.1 Фильтрация журнала Фильтрация журнала — удобная функция, помогающая находить записи в файлах журнала, особенно когда записей много и сложно найти нужную информацию .

При использовании фильтрации можно ввести строку поиска для фильтра, указать, в каких столбцах выполнять поиск, выбрать типы записей и задать период времени, чтобы сократить количество записей .

Если указать определенные параметры фильтрации, только отвечающие таким условиям записи отображаются в окне Файлы журнала, что обеспечивает удобный быстрый просмотр .

Для того чтобы открыть окно Фильтрация журнала, один раз нажмите кнопку Фильтр... в разделе Служебные программы Файлы журнала или воспользуйтесь сочетанием клавиш Ctrl + Shift + F .

ПРИМЕЧАНИЕ: Для поиска конкретной записи можно использовать вместо фильтрации журнала функцию Найти в журнале 89 или же применять обе функции совместно .

Если указать определенные параметры фильтрации, только отвечающие таким условиям записи отображаются в окне «Файлы журнала». Это позволяет отфильтровать записи (сократить их количество), благодаря чему найти нужное будет проще. Чем более конкретные параметры фильтра используются, тем меньше результатов вы получите .

Что:: введите строку (слово целиком или частично). Будут показаны только записи, в которых содержится эта строка. Остальные записи не будут видимы, что позволяет удобнее работать с журналом .

Искать в столбцах:: выберите, какие столбцы будут учитываться при фильтрации. Для использования в фильтрации можно отметить один столбец или сразу несколько.

По умолчанию отмечаются все столбцы:

Время Модуль Событие Пользователь Типы записей:: позволяет выбрать, записи какого типа следует показывать.

Можно выбрать один конкретный тип записей, несколько типов одновременно или же показывать все типы записей (по умолчанию):

Диагностика Информация Внимание Ошибка Критические Период времени:: этот параметр позволяет фильтровать записи по времени. Можно выбрать одно из следующих значений .

Весь журнал (по умолчанию): фильтрация по периоду времени не выполняется, отображается журнал целиком .

Последний день Последняя неделя Последний месяц Период: если выбрать это значение, то можно указать конкретный период времени (дата и время), чтобы на экран выводились только те записи, регистрация которых относится к указанному периоду .

В дополнение к указанным выше параметрам фильтрации можно также использовать ряд параметров .

Только слова целиком: будут показаны только записи, соответствующие строке, введенной в текстовом поле Что, как целому слову .

С учетом регистра: будут показаны только записи, соответствующие строке, введенной в текстовом поле Что, с учетом регистра .

Включить фильтрацию Smart: этот параметр позволяет ESET Mail Security выполнять фильтрацию с применением своих собственных методов .

По окончании настройки параметров фильтрации нажмите кнопку ОК, чтобы применить созданный фильтр. В окне Файлы журнала будут показаны только записи, соответствующие критериям фильтра .

4.5.2 Найти в журнале В дополнение к фильтрации журнала 88 можно использовать в файлах журнала функцию поиска. Но использовать ее можно и независимо от фильтрации журнала. Эта функция полезна, когда в журналах нужно найти определенные записи. Как и фильтрация журнала, данная функция поиска помогает найти нужную информацию, особенно если количество записей слишком велико .

При использовании функции поиска в журнале можно ввести строку поиска, указать, в каких столбцах выполнять поиск, выбрать типы записей и задать период времени, чтобы искать только записи, относящиеся к этому периоду. Если указать определенные параметры поиска, только отвечающие таким условиям записи отображаются в окне «Файлы журнала» .

Для выполнения поиска в журналах откройте окно Найти в журнале, нажав клавиши Ctrl + f .

ПРИМЕЧАНИЕ: Функцию «Найти в журнале» можно использовать в сочетании с фильтрацией журнала 88 .

Сначала можно сократить количество записей, воспользовавшись фильтрацией журнала, а затем приступить к поиску только в уже отфильтрованных записях .

Что:: введите строку (слово целиком или частично). Будут найдены только записи, в которых содержится эта строка. Остальные записи будут опущены .

Искать в столбцах:: выберите, какие столбцы будут учитываться при поиске. Для использования в поиске можно отметить один столбец или сразу несколько.

По умолчанию отмечаются все столбцы:

Время Модуль Событие Пользователь Типы записей:: позволяет выбрать, записи какого типа следует искать.

Можно выбрать один конкретный тип записей, несколько типов одновременно или же искать все типы записей (по умолчанию):

Диагностика Информация Внимание Ошибка Критические Период времени:: этот параметр позволяет находить только записи, относящиеся к определенному периоду времени. Можно выбрать одно из следующих значений .

Весь журнал (по умолчанию): поиск по периоду времени не выполняется, поиск ведется в журнале целиком .

Последний день Последняя неделя Последний месяц Период: если выбрать это значение, то можно указать конкретный период времени (дата и время), чтобы выполнялся поиск только тех записей, регистрация которых относится к указанному периоду .

В дополнение к указанным выше параметрам поиска можно также использовать ряд параметров .

Только слова целиком: будут найдены только записи, соответствующие строке, введенной в текстовом поле Что, как целому слову .

С учетом регистра: будут найдены только записи, соответствующие строке, введенной в текстовом поле Что, с учетом регистра .

Искать вверх: поиск выполняется с текущего места вверх .

После конфигурирования параметров поиска нажмите кнопку Найти, чтобы приступить к поиску. Поиск прекращается, когда находится первая соответствующая его критериям запись. Снова нажмите кнопку Найти, чтобы продолжить поиск. Поиск в файлах журнала ведется сверху вниз, начиная с текущего положения (выделенной записи) .

4.5.3 Обслуживание журнала Настройку ведения журнала ESET Mail Security можно открыть из главного окна программы. Нажмите Настройка Ввод всего дерева расширенных параметров... Служебные программы Файлы журнала .

Для файлов журнала можно задать параметры, указанные ниже .

Удалять записи автоматически: записи журнала, созданные больше указанного количества дней назад, автоматически удаляются .

Оптимизировать файлы журналов автоматически: включается автоматическая дефрагментация файлов журнала при превышении указанного значения неиспользуемых данных в процентах .

Минимальная степень детализации журнала: задается степень детализации ведения журнала .

Возможны следующие варианты .

- Диагностические записи: записывается информация, необходимая для тонкой настройки программы, а также все перечисленные выше записи .

- Информационные записи: записываются информационные сообщения, в том числе сообщения об успешном выполнении обновления, а также все перечисленные выше записи .

- Предупреждения: записывается информация обо всех критических ошибках и предупреждениях .

- Ошибки: записываются только сообщения типа «Ошибка загрузки файла», а также критические ошибки .

- Критические предупреждения: регистрируются только критические ошибки (ошибки запуска защиты от вирусов и т. п.) .

4.6 ESET SysInspector

4.6.1 Введение в ESET SysInspector ESET SysInspector — это приложение, которое тщательно проверяет компьютер и отображает собранные данные в понятном виде. Представляемые данные, такие как информация об установленных драйверах и приложениях, сетевых подключениях и важных записях реестра, позволяют определить причину подозрительного поведения системы, которое может быть вызвано несовместимостью программного или аппаратного обеспечения или заражением вредоносными программами .

Существует два способа воспользоваться приложением SysInspector. Во-первых, можно открыть интегрированную в ESET Mail Security версию, а, во-вторых, загрузить самостоятельную версию (SysInspector.exe) бесплатно с веб-сайта ESET. Для того чтобы открыть SysInspector, активируйте расширенный режим, воспользовавшись сочетанием клавиш CTRL + M, и перейдите в раздел Служебные программы SysInspector. Обе версии аналогичны по своим функциям и имеют одинаковые элементы управления программой. Единственное отличие заключается в том, как осуществляется управление результатами. И загружаемая, и интегрированная версии позволяют экспортировать снимки системы в файл в формате XML и сохранять его на диске. Однако интегрированная версия также дает возможность сохранять снимки системы непосредственно в разделе Служебные программы SysInspector (для получения дополнительных сведений см. раздел SysInspector как часть ESET Mail Security 100 ) .

Дайте ESET SysInspector некоторое время на сканирование компьютера. Этот процесс может занять от 10 секунд до нескольких минут в зависимости от конфигурации оборудования, операционной системы и количества установленных на компьютере приложений .

4.6.1.1 Запуск ESET SysInspector Для запуска ESET SysInspector достаточно выполнить файл SysInspector.exe, загруженный с веб-сайта ESET .

Если у вас уже установлен один из программных продуктов ESET для обеспечения безопасности, ESET SysInspector можно запустить непосредственно из меню «Пуск» («Программы ESET ESET Mail Security) .

Дождитесь окончания проверки системы приложением. Это может занять до нескольких минут в зависимости от оборудования и данных, которые нужно собрать .

4.6.2 Интерфейс пользователя и работа в приложении Для удобства главное окно разделено на четыре раздела: вверху находятся элементы управления программой, слева — окно навигации, справа по центру — окно описания, а справа внизу — окно подробных сведений. В разделе «Состояние журнала» указаны основные параметры журнала (используемый фильтр, тип фильтра, является ли журнал результатом сравнения и т. д.) .

4.6.2.1 Элементы управления программой В этом разделе описаны все элементы управления программой, доступные в ESET SysInspector .

Файл Элемент Файл позволяет сохранить данные о текущем состоянии системы для их последующего изучения или открыть ранее сохраненный журнал. Если планируется опубликовать журнал, для его создания рекомендуется использовать пункт меню Подходит для отправки. В этом случае из него исключается конфиденциальная информация (например, имя текущего пользователя, имена компьютера и домена, права текущего пользователя, переменные окружения и т. п.) .

ПРИМЕЧАНИЕ. Чтобы просмотреть сохраненные ранее отчеты ESET SysInspector, достаточно просто перетащить их в главное окно приложения .

Дерево Позволяет развернуть или свернуть все узлы, а также экспортировать выделенные разделы в сценарий службы .

Список Содержит функции, облегчающие навигацию по программе, а также прочие функции, такие как поиск информации в Интернете .

Справка Содержит сведения о приложении и его функциях .

Подробности Этот параметр влияет на отображаемую в главном окне информацию, делая более удобной работу с ней. В режиме «Основное» пользователю доступна информация, необходимая для поиска решений распространенных проблем в системе. В режиме «Среднее» программа отображает реже используемые сведения. Режим «Полное» ESET SysInspector предназначен для вывода на экран всей информации, необходимой для решения самых нестандартных проблем .

Фильтрация элементов Фильтрация элементов очень удобна для поиска подозрительных файлов или записей реестра, существующие в системе. С помощью ползунка можно фильтровать элементы по их уровню риска. Если ползунок установлен в крайнее левое положение (уровень риска 1), отображаются все элементы. При перемещении ползунка вправо программа будет отфильтровывать все элементы с уровнем риска, меньшим текущего уровня, и отобразит только те элементы, уровень подозрительности которых выше отображаемого уровня. Если ползунок находится в крайнем правом положении, программа отображает только определенно вредоносные элементы .

Все элементы с уровнем риска от 6 до 9 могут представлять угрозу для безопасности. Если вы не используете решения компании ESET для обеспечения безопасности, после нахождения приложением ESET SysInspector любого такого элемента рекомендуется проверить систему с помощью ESET Online Scanner. ESET Online Scanner является бесплатной службой .

ПРИМЕЧАНИЕ. Уровень риска элемента легко определяется путем сравнения цвета элемента с цветом на ползунке уровней рисков .

Поиск Поиск можно использовать для быстрого нахождения определенного элемента по его названию или части названия. Результаты поиска отображаются в окне описания .

Возврат С помощью стрелок назад и вперед можно переходить в окне описания к ранее отображенной информации .

Вместо кнопок перехода назад и вперед можно использовать клавишу Backspace и пробел .

Раздел состояния Отображает текущий узел в окне навигации .

Внимание! Элементы, выделенные красным цветом, являются неизвестными, поэтому программа помечает их как потенциально опасные. Если элемент выделен красным, это не означает, что соответствующий файл можно удалить. Перед удалением убедитесь, что файлы действительно опасны или не являются необходимыми .

4.6.2.2 Навигация в ESET SysInspector ESET SysInspector распределяет информацию разных типов по нескольким основным разделам, называемым узлами. Для того чтобы получить дополнительные сведения о каком-либо из разделов, разверните вложенные узлы соответствующего узла. Для того чтобы открыть или свернуть узел, дважды щелкните название узла или нажмите значок или рядом с его названием. При перемещении по древовидной структуре узлов и вложенных узлов в окне навигации различные сведения о каждом узле отображаются в окне описания. При переходе к конкретному элементу в окне подробной информации отображаются дополнительные сведения о нем .

Ниже описаны основные узлы, отображаемые в окне навигации, и относящаяся к ним информация, доступная в окнах описания и подробных сведений .

Запущенные процессы Этот узел содержит сведения о приложениях и процессах, выполняемых в момент создания журнала. В окне описания могут находиться дополнительные сведения о каждом из процессов, например названия динамических библиотек, используемых процессом, и их местонахождение в системе, название поставщика приложения и уровень риска файла .

Окно подробных сведений содержит дополнительную информацию об элементах, выделенных в окне описания, такую как размер файла или его хэш .

ПРИМЕЧАНИЕ. Любая операционная система состоит из нескольких компонентов ядра, которые постоянно выполняются и обеспечивают работу базовых принципиально важных функций других пользовательских приложений. В определенных случаях путь к файлам таких процессов отображается в ESET SysInspector с символами «\??\» в начале. Эти символы обеспечивают оптимизацию до запуска таких процессов и с точки зрения системы являются безопасными .

Сетевые подключения В окне описания перечислены процессы и приложения, которые обмениваются данными через сеть по протоколу, выбранному в окне навигации (TCP или UDP), а также удаленные адреса, с которыми эти приложения устанавливают соединения. Также можно проверить IP-адреса DNS-серверов .

Окно подробных сведений содержит дополнительную информацию об элементах, выделенных в окне описания, такую как размер файла или его хэш .

Важные записи реестра Содержит список определенных записей реестра, которые часто бывают связаны с различными проблемами в системе, такие как записи, задающие автоматически загружаемые программы, объекты модуля поддержки обозревателя и т. п .

В окне описания также может отображаться, какие файлы связаны с конкретными записями реестра. В окне подробных сведений может быть представлена дополнительная информация .

Службы В окне описания перечислены файлы, зарегистрированные в качестве служб Windows. В окне подробных сведений можно увидеть способ запуска службы, а также просмотреть определенную информацию о файле .

Драйверы Список драйверов, установленных в системе .

Критические файлы В окне описания отображается содержимое критических файлов, относящихся к операционной системе Microsoft Windows .

Информация о системе Содержит подробные сведения об оборудовании и программном обеспечении, а также информацию о заданных переменных среды и правах пользователя .

Сведения о файле Список важных системных файлов и файлов в папке Program Files. В окнах описания и подробных сведений может отображаться дополнительная информация о файлах .

О программе Информация о приложении ESET SysInspector .

4.6.2.3 Сравнение С помощью функции сравнения пользователь может сравнить два существующих журнала. Результатом выполнения этой команды является набор элементов, не совпадающих в этих журналах. Это позволяет отслеживать изменения в системе, что удобно для обнаружения активности злонамеренного кода .

После запуска приложение создает новый журнал, который выводится на экран в новом окне. Для того чтобы сохранить журнал в файл, в меню Файл выберите пункт Сохранить журнал. Сохраненные файлы журналов можно впоследствии открывать и просматривать. Чтобы открыть существующий журнал, в меню Файл выберите пункт Открыть журнал. В главном окне программы ESET SysInspector в каждый момент времени отображается только один журнал .

Преимущество сравнения двух журналов заключается в том, что можно одновременно просматривать активный в настоящий момент журнал и сохраненный в файле журнал. Для сравнения журналов в меню Файл выберите пункт Сравнить журналы и выполните команду Выбрать файл. Выбранный журнал будет сравниваться с активным журналом в главном окне программы. Сравнительный журнал отображает только различия между этими двумя журналами .

ПРИМЕЧАНИЕ. При сравнении двух файлов журналов в меню Файл выберите пункт Сохранить журнал и сохраните журнал как файл в формате ZIP. В результате будут сохранены оба файла. Если позже открыть такой файл, содержащиеся в нем журналы будут автоматически сравниваться .

Напротив отображенных элементов SysInspector выводит символы, обозначающие различия между сравниваемыми журналами .

Элементы, помеченные символом « », присутствуют только в активном журнале, но отсутствуют в открытом журнале, с которым он сравнивается. Элементы, отмеченные знаком, присутствуют только в открытом журнале и отсутствуют в активном .

Описание всех символов, которые могут отображаться напротив элементов новое значение, отсутствует в предыдущем журнале раздел древовидной структуры содержит новые значения удаленное значение, присутствует только в предыдущем журнале раздел древовидной структуры содержит удаленные значения значение или файл были изменены раздел древовидной структуры содержит измененные значения или файлы уровень риска снизился, то есть был выше в предыдущем журнале уровень риска повысился или был ниже в предыдущей версии журнала В специальном разделе в левом нижнем углу окна отображается описание всех символов, а также названия сравниваемых журналов .

Любой сравнительный журнал можно сохранить в файл и открыть его позже .

Пример Создайте и сохраните журнал, содержащий исходную информацию о системе, в файл с названием «предыдущий.xml». После внесения изменений в систему откройте SysInspector и разрешите приложению создать новый журнал. Сохраните его в файл с названием текущий.xml .

Чтобы отследить различия между этими двумя журналами, в меню Файл выберите пункт Сравнить журналы. Программа создаст сравнительный журнал, содержащий различиями между сравниваемыми .

Тот же результат можно получить с помощью следующих параметров командной строки:

SysIsnpector.exe текущий.xml предыдущий.xml 4.6.3 Параметры командной строки В ESET SysInspector можно формировать отчеты из командной строки. Для этого используются перечисленные ниже параметры .

/gen создание журнала непосредственно из командной строки без запуска графического интерфейса пользователя /privacy создание журнала без включения в него конфиденциальной информации /zip сохранение журнала непосредственно на диск в сжатом файле /silent скрытие индикатора выполнения при создании журнала /help, /? отображение сведений о параметрах командной строки Примеры

Чтобы открыть определенный журнал непосредственно в браузере, воспользуйтесь следующей командой:

SysInspector.exe "c:\клиентский_журнал.xml" Чтобы создать журнал в текущей папке, воспользуйтесь следующей командой: SysInspector.exe /gen

Чтобы создать журнал в определенной папке, воспользуйтесь следующей командой: SysInspector.exe /gen="c:

\папка\" Чтобы создать журнал в определенной папке и в определенном файле, воспользуйтесь следующей командой: SysInspector.exe /gen="c:\папка\новый_журнал.xml" Чтобы создать журнал, из которого исключена конфиденциальная информация, непосредственно в сжатом файле, воспользуйтесь следующей командой: SysInspector.exe /gen="c:\новый_журнал.zip" /privacy /zip Чтобы сравнить два журнала, воспользуйтесь следующей командой: SysInspector.exe "текущий.xml" "исходный .

xml" ПРИМЕЧАНИЕ. Если название файла или папки содержит пробел, это название необходимо заключить в кавычки .

4.6.4 Сценарий службы Сценарий службы — это специальное средство, помогающее пользователям ESET SysInspector с легкостью удалять нежелательные объекты с компьютера .

Сценарий службы дает пользователям возможность целиком или частично экспортировать журнал SysInspector. После экспорта пользователь может пометить нежелательные объекты для удаления. Затем можно запустить сценарий с отредактированным журналом для удаления помеченных объектов .

Сценарий службы предназначен для пользователей, имеющих опыт в диагностике компьютерных систем .

Неквалифицированные действия могут привести к повреждению операционной системы .

Пример При наличии подозрения о заражении компьютера вирусом, который не обнаруживается программой защиты от вирусов, можно выполнить описанные далее указания .

Запустите ESET SysInspector и создайте новый снимок системы .

Выделите первый элемент в разделе слева (в древовидной структуре), нажмите клавишу CTRL, а затем выберите последний элемент, чтобы пометить все элементы .

Щелкните правой кнопкой мыши выделенные объекты и выберите пункт контекстного меню Экспортировать выбранные разделы в сценарий службы .

Выделенные объекты будут экспортированы в новый журнал .

Далее следует наиболее важный этап всей процедуры. Откройте созданный журнал и измените атрибут «-» на «+» для всех объектов, которые нужно удалить. Следите за тем, что не помечаются никакие важные файлы или объекты операционной системы .

Откройте ESET SysInspector, воспользуйтесь пунктом меню Файл Запустить сценарий службы и введите путь к сценарию .

Нажмите кнопку ОК, чтобы запустить сценарий .

4.6.4.1 Создание сценариев службы Для того чтобы создать сценарий, щелкните правой кнопкой мыши любой объект в древовидном меню (в левой панели) главного окна SysInspector. В контекстном меню выберите команду Экспортировать все разделы в сценарий службы или Экспортировать выбранные разделы в сценарий службы .

ПРИМЕЧАНИЕ. Сценарий службы нельзя экспортировать во время сравнения двух журналов .

4.6.4.2 Структура сценария службы Первая строка заголовка сценария содержит данные о версии ядра (ev), версии интерфейса (gv) и версии журнала (lv). Эти данные позволяют отслеживать изменения в файле в формате XML, используемом для создания сценария. Они предотвращают появление несоответствий на этапе выполнения. Эту часть сценария изменять не следует .

Остальное содержимое файла разбито на разделы, элементы которых можно редактировать. Те из них, которые должны быть обработаны сценарием, следует пометить. Для этого символ «-» перед элементов нужно заменить на символ «+». Разделы отделяются друг от друга пустой строкой. Каждый раздел имеет собственный номер и название .

01) Running processes (Запущенные процессы) В этом разделе содержится список процессов, запущенных в системе. Каждый процесс идентифицируется по UNC-пути, а также по хэш-коду CRC16, заключенному в символы звездочки (*) .

Пример .

01) Running processes:



Pages:   || 2 |



Похожие работы:

«Дорогие друзья! Мы с вами живем в одном из наиболее динамично развивающихся городов нашей страны. Темпы развития Новосибирска, выражающиеся в объемах жилищного строительства, показателях инфраструктурной обеспеченности городских территорий, продукции...»

«Комитет образования, науки и молодежной политики Волгоградской области Государственное автономное учреждение дополнительного профессионального образования "Волгоградская государственная академия последипломного образования" государственное бюджетное профессиональное образовательное учрежде...»

«Journal of Siberian Federal University. Chemistry 1 (2018 11) 56-71 ~~~ УДК 544.472.2; 547.458.8 The Production of Formic Acid from Polysaccharides and Biomass via One-pot Hydrolysis-Oxidation in the Presence of Mo-V-P Heteropoly Acid Catalyst Nikolay V. Gromov*а,b, Tatia...»

«ЗАКЛЮЧЕНИЕ ДИССЕРТАЦИОННОГО СОВЕТА Д 212.229.17, СОЗДАННОГО НА БАЗЕ ФЕДЕРАЛЬНОГО ГОСУДАРСТВЕННОГО АВТОНОМНОГО ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ ВЫСШЕГО ОБРАЗОВАНИЯ "САНКТ-ПЕТЕРБУРГСКИЙ ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ ПЕТРА ВЕЛИКОГО" МИНИСТЕРСТВА НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ ПО ДИССЕРТАЦИИ НА СОИСКАНИЕ...»

«Journal of Siberian Federal University. Chemistry 4 (2017 10) 465-476 ~~~ УДК 666.7 CUMITHERM®– A State-of-the-art Zero Expansion Ceramics and its Applications Santanu Mandal, Suresh Kumar Chatakonda, Arijit Chatterjee and Shyam S Rao* Carborundum Universal Limited, 47 & 48 635 126 Hosur, Sipcot In...»

«0404654 Инжинирингово-сервисный центр заводов "Молмаш" и "Некрасовский машиностроительный завод" НАСОСЫ •Р PUMPS F Engineering-service centre of "Molmash" plants and "Nekrasovsky machine-building plant" 'ПИЩМАШСЕРВИС' PISCHMASHSERVICE; Инжинирингово-сервисный центр заводов "Молмаш" и "Некрасовский машиностроительный за...»

«Камышов Юрий Николаевич ОБОСНОВАНИЕ КОНСТРУКТИВНЫХ ПАРАМЕТРОВ РАБОЧИХ ОРГАНОВ ДИСМЕМБРАТОРОВ ДЛЯ ПОЛУЧЕНИЯ ЖИДКИХ КОРМОВЫХ СМЕСЕЙ Специальность 05.20.01 Технологии и средства механизации сельского хозяйства Автореферат диссертации на соискание ученой степени кандидата технических наук 1 5 [.1АР Ш Барнаул-2012 Работ...»

«005014240 МЕДЯНКИНА ИРИНА ПЕТРОВНА ПРИНЦИПЫ и МЕТОДЫ ИНФОРМАЦИОННО-БИБЛИОТЕЧНОГО ОБЕСПЕЧЕНИЯ УЧЕБНОГО ПРОЦЕССА В СИСТЕМЕ ДИСТАНЦИОННОГО ОБРАЗОВАНИЯ Специальность 05.25.05 информационные системы и процессы АВТОРЕФЕРАТ диссертации на соискани...»

«Перечень документов Продавца(-ов) по Договору купли-продажи/Цедента по Договору уступки прав требований по договору участия в долевом строительстве:1. В случае если Продавец/Цедент – физическое лицо: Паспорт(-а) гражданина Российской Федерации Продавца(-ов) (копии всех страниц, в том числе не Копия сод...»

«'A Taste of Russian' подкаст #71 – Сетевой маркетинг (II) www.tasteofrussian.com Our new site for premium episodes is http://www.torpod.com/ Вы слушаете подкаст "A Taste of Russian", выпуск #71 – Сетевой маркетинг, часть...»

«ИССЛЕДОВАНИЕ ОБРАЗОВАНИЯ БИОГАЗА НА ПОЛИГОНЕ ТБО В Г.ЧЕРНОВЦЫ ОТЧЕТ 1.РЕЗЮМЕ Предварительная оценка потенциала реализации проекта сбора и утилизации биогаза подготовлена для полигона в г. Черновцы (Украина). Оценка основана на информ...»

«ПРИЛОЖЕНИЕ 4 РАБОЧИЕ ПРОГРАММЫ ДИСЦИПЛИН (МОДУЛЕЙ) По специальности 11.02.06 "Техническая эксплуатация транспортного радиоэлектронного оборудования (по видам транспорта)"РАБОЧАЯ ПРОГРАММА ОБЩЕОБРАЗОВАТЕЛЬНОЙ УЧЕБНОЙ ДИСЦИПЛИНЫ ОУД.01 РУССКИЙ ЯЗЫК РАБОЧАЯ ПРОГРАММА ОБЩЕОБРАЗОВАТЕЛЬНОЙ УЧЕБНОЙ ДИСЦИПЛИНЫ ОУД.02 Л...»

«Министерство образования и науки Российской Федерации федеральное государственное автономное образовательное учреждение высшего образования "НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ТОМСКИЙ ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ" Школа инженерная школа информационных технологий и робототехники Направление подготовки,...»

«Санкт-Петербургский Государственный Политехнический Университет кафедра телематики Архитектура системы разграничения доступа к ресурсам гетерогенной вычислительной среды на основе контроля виртуальных соединений В.С.Заборовский, А. А. Лукашин, С.В. Купреенко, В.А. Мулюха ПаВТ-2011 Актуальность Современной тенденцией в мире инф...»

«УДК 577.344.3 УРОВЕНЬ ЭКСТРАЦЕЛЛЮЛЯРНОЙ АТФ В УСЛОВИЯХ ФОТОДИНАМИЧЕСКОГО ВОЗДЕЙСТВИЯ НА КЛЕТКИ АСЦИТНОЙ КАРЦИНОМЫ ЭРЛИХА Д. И. Шабанов, Ю. А. Лысенко, В. Г. Артюхов ФГБОУ ВО "Воронежский государственный университет" Пост...»

«ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ ГОСТ Р и с о СТАНДАРТ 289277— РОССИЙСКОЙ ФЕДЕРАЦИИ Вибрация ОПРЕДЕЛЕНИЕ ПАРАМЕТРОВ ВИБРАЦИОННОЙ ХАРАКТЕРИСТИКИ РУЧНЫХ МАШИН Часть 7 Ножницы вы руб ны е и ножевые I SO 28927-7:2009 Hand-held...»

«стр. 3 Масло гидравлическое G-Special Hydraulic Nord-32 РПБ № 84035624.02.36135 из 15 по CТО 84035624-110-2014 Действителен до 28.10.2019 г.1 . Идентификация химической продукции...»

«ЖК панели EliteBoard BB495FCBED BB555FCBED BB558FCBED Руководство по эксплуатации ЖК ПАНЕЛИ ДЛЯ ВИДЕОСТЕН EliteBoard Уважаемый пользователь, Благодарим за приобретение ЖК панели EliteBoard. Перед тем, как Вы приступите к использованию панели, внимательно...»

«ПРОЕКТНАЯ ДЕКЛАРАЦИЯ Копия Городской квартал Ривер Парк Фаза 2 № 77-001617 01 О фирменном наименовании (наименовании) заст ройщика, мест е нахождения заст ройки, режиме его работ ы, номере т елефона, адресе официального сайт а з...»

«Ишкильдин Руслан Радмирович АВТОМАТИЗАЦИЯ РАЗРАБОТКИ ИМИТАТОРОВ И ТРЕНАЖЕРОВ ДЛЯ СИСТЕМ УПРАВЛЕНИЯ УСТАНОВКАМИ ПОДГОТОВКИ ПРИРОДНОГО ГАЗА Специальность 05.13.06 – Автоматизация и управление технологическими проц...»

«ПРОБЛЕМЫ ГЕОЛОГИИ И ОСВОЕНИЯ НЕДР Mass investigations of trace elements in coal deposits and basins on all continents conducted over the past few decades have shown that coals are concentrators of many valuable metals, including rare and dispersed ones. Scandium is of interest as an element, almost having non own in...»







 
2019 www.librus.dobrota.biz - «Бесплатная электронная библиотека - собрание публикаций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.