ESET FILE SECURITY. für Microsoft Windows Server. Installations- und Benutzerhandbuch. Microsoft Windows Server 2000 / 2003 / 2008 / 2008 R2

Transkript

1 ESET FILE SECURITY für Microsoft Windows Server Installations- und Benutzerhandbuch Microsoft Windows Server 2000 / 2003 / 2008 / 2008 R2 Klicken Sie hier, um die neueste Version dieses Dokuments herunterzuladen

2 ESET FILE SECURITY Copyright 2012 ESET, spol. s r.o. ESET File Security wurde entwickelt von ESET, spol. s r.o. Nähere Informationen finden Sie unter Alle Rechte vorbehalten. Kein Teil dieser Dokumentation darf ohne schriftliche Einwilligung des Verfassers reproduziert, in einem Abrufsystem gespeichert oder in irgendeiner Form oder auf irgendeine Weise weitergegeben werden, sei es elektronisch, mechanisch, durch Fotokopien, Aufnehmen, Scannen oder auf andere Art. ESET, spol. s r.o. behält sich das Recht vor, ohne vorherige Ankündigung an jedem der hier beschriebenen Software-Produkte Änderungen vorzunehmen. Weltweiter Support: Kundenservice Nordamerika: Versionsstand 2/3/2012

3 Inhalt Einführung...5 Systemanforderungen...5 Schutzarten...5 Benutzeroberfläche...6 Installation...7 Standardinstallation...7 Benutzerdefinierte...8 Installation Terminalserver...9 Auf neuere...10 Version aktualisieren On-Demand-Prüfung...10 Erste...11 Schritte Übersicht...11 zur Benutzeroberfläche Überprüfen...12 der Funktionsfähigkeit des Systems Vorgehensweise bei fehlerhafter Ausführung des Programms...13 Einstellungen...14 für Updates Einstellungen...15 für Proxyserver Einstellungen...16 schützen Arbeiten...17 mit ESET File Security ESET...17 File Security - Server-Schutz Automatische...17 Ausschlüsse ESET...18 File Security - Computer-Schutz Viren- und...18 Spyware-Schutz Echtzeit-Dateischutz Prüfeinstellungen Zu prüfende...19 Datenträger Prüfen beim...19 (ereignisgesteuerte Prüfung) Erweiterte...19 Optionen für Prüfungen Säuberungsstufen Wann sollten die Einstellungen für den Echtzeit-Dateischutz...20 geändert werden? Echtzeit-Dateischutz...20 prüfen Vorgehensweise bei fehlerhaftem Echtzeit-Dateischutz Client-Schutz POP3-Prüfung Kompatibilität Integration...23 mit -Programmen Body...24 Prüfhinweise hinzufügen Eingedrungene...24 Schadsoftware entfernen Web-Schutz HTTP, HTTPS Adressverwaltung Aktiver Modus On-Demand-Prüfung Prüfungstyp Standardprüfung Prüfen mit...29 speziellen Einstellungen Zu prüfende...29 Objekte Prüfprofile Kommandozeile Performance Prüfen...32 von Anwendungsprotokollen SSL Vertrauenswürdige...32 Zertifikate Ausgeschlossene...33 Zertifikate Einstellungen...33 für ThreatSense Einstellungen...33 für Objekte Methoden Säubern...35 Dateinamens-Erweiterungen...36 Grenzen...36 Sonstige...37 Eingedrungene...37 Schadsoftware wurde erkannt Aktualisieren...38 des Programms Einstellungen...40 für Updates Update-Profile Erweiterte...41 Einstellungen für Updates Update-Modus Proxyserver Herstellen...45 einer LAN-Verbindung Erstellen von Kopien der Update-Dateien - Update-Mirror Aktualisieren...47 über Update-Mirror Fehlerbehebung bei Problemen mit Updates über Update-Mirror So erstellen...48 Sie Update-Tasks Taskplaner Verwendung...49 von Tasks Erstellen...50 von Tasks Quarantäne Quarantäne...51 für Dateien Wiederherstellen...52 aus Quarantäne Einreichen...52 von Dateien aus der Quarantäne Log-Dateien Log-Filter In Log suchen Log-Wartung...56 ESET...57 SysInspector Einführung...57 in ESET SysInspector Starten...57 von ESET SysInspector Benutzeroberfläche und Verwenden der Anwendung Steuerelemente...58 des Programms Navigation...59 in ESET SysInspector Vergleichsfunktion Kommandozeilenparameter Dienste-Skript Erstellen...62 eines Dienste-Skripts Aufbau...62 des Dienste-Skripts Ausführen...65 von Dienste-Skripten Tastaturbefehle Häufig gestellte...66 Fragen (FAQ) ESET SysInspector...68 als Teil von ESET File Security ESET...68 SysRescue Minimalanforderungen So erstellen...69 Sie eine Rettungs-CD Zielauswahl Einstellungen Ordner ESET Antivirus Erweiterte...70 Einstellungen Internetprotokoll Bootfähiges...71 USB-Gerät Brennen Die Arbeit...71 mit ESET SysRescue Verwenden...71 des ESET SysRescue-Mediums Benutzeroberfläche Warnungen...73 und Hinweise Deaktivieren der Benutzeroberfläche auf Terminalserver eshell Verwendung Befehle Kontext AV Kontext AV DOCUMENT

4 Kontext AV DOCUMENT LIMITS ARCHIVE Kontext AV DOCUMENT LIMITS OBJECTS Kontext AV DOCUMENT OBJECTS Kontext AV DOCUMENT OPTIONS Kontext AV DOCUMENT OTHER Kontext AV Kontext AV GENERAL Kontext AV GENERAL LIMITS ARCHIVE Kontext AV GENERAL LIMITS OBJECTS Kontext AV GENERAL OBJECTS Kontext AV GENERAL OPTIONS Kontext AV GENERAL OTHER Kontext AV MESSAGE CONVERT Kontext AV MODIFY Kontext AV MODIFY RECEIVED Kontext AV MODIFY SENT Kontext AV OEXPRESS/WINMAIL Kontext AV OUTLOOK Kontext AV OUTLOOK RESCAN Kontext AV PROTOCOL POP3 Kontext AV PROTOCOL POP3S Kontext AV RESCAN Kontext AV SCAN Kontext AV THUNDERBIRD Kontext AV WINLIVE Kontext AV LIMITS ARCHIVE Kontext AV LIMITS OBJECTS Kontext AV NETFILTER Kontext AV NETFILTER PROTOCOL SSL Kontext - AV NETFILTER PROTOCOL SSL CERTIFICATE Kontext AV OBJECTS Kontext AV OPTIONS Kontext AV OTHER Kontext AV REALTIME Kontext AV REALTIME DISK Kontext AV REALTIME EVENT Kontext AV REALTIME EXECUTABLE Kontext - AV REALTIME EXECUTABLE FROMREMOVABLE Kontext AV REALTIME LIMITS ARCHIVE Kontext AV REALTIME LIMITS OBJECTS Kontext AV REALTIME OBJECTS Kontext AV REALTIME ONWRITE Kontext AV REALTIME ONWRITE ARCHIVE Kontext AV REALTIME OPTIONS Kontext AV REALTIME OTHER Kontext AV REALTIME REMOVABLE Kontext AV WEB Kontext AV WEB ADDRESSMGMT Kontext AV WEB LIMITS ARCHIVE Kontext AV WEB LIMITS OBJECTS Kontext AV WEB OBJECTS Kontext AV WEB OPTIONS Kontext AV WEB OPTIONS BROWSERS Kontext AV WEB OTHER Kontext AV WEB PROTOCOL HTTP Kontext AV WEB PROTOCOL HTTPS Kontext GENERAL Kontext GENERAL ACCESS Kontext GENERAL ESHELL Kontext GENERAL ESHELL COLOR Kontext GENERAL ESHELL OUTPUT Kontext GENERAL ESHELL STARTUP Kontext GENERAL ESHELL VIEW Kontext GENERAL PERFORMANCE Kontext GENERAL PROXY Kontext GENERAL QUARANTINE RESCAN Kontext GENERAL REMOTE Kontext GENERAL REMOTE SERVER PRIMARY Kontext - GENERAL REMOTE SERVER SECONDARY Kontext GENERAL TS.NET Kontext GENERAL TS.NET STATISTICS Kontext SCANNER Kontext SCANNER LIMITS ARCHIVE Kontext SCANNER LIMITS OBJECTS Kontext SCANNER OBJECTS Kontext SCANNER OPTIONS Kontext SCANNER OTHER Kontext SERVER Kontext TOOLS Kontext TOOLS ACTIVITY Kontext TOOLS LOG Kontext TOOLS LOG CLEANING Kontext TOOLS LOG OPTIMIZE Kontext TOOLS NOTIFICATION Kontext TOOLS NOTIFICATION Kontext TOOLS NOTIFICATION MESSAGE Kontext - TOOLS NOTIFICATION MESSAGE FORMAT Kontext TOOLS NOTIFICATION WINPOPUP Kontext TOOLS SCHEDULER Kontext TOOLS SCHEDULER EVENT Kontext TOOLS SCHEDULER FAILSAFE Kontext - TOOLS SCHEDULER PARAMETERS CHECK Kontext - TOOLS SCHEDULER PARAMETERS EXTERNAL Kontext - TOOLS SCHEDULER PARAMETERS SCAN Kontext - TOOLS SCHEDULER PARAMETERS UPDATE Kontext TOOLS SCHEDULER REPEAT Kontext TOOLS SCHEDULER STARTUP Kontext UPDATE Kontext UPDATE CONNECTION Kontext UPDATE MIRROR Kontext UPDATE MIRROR SERVER Kontext UPDATE NOTIFICATION Kontext UPDATE PROXY Kontext UPDATE SYSTEM 4.11 Einstellungen importieren/exportieren 4.12 ThreatSense.Net Verdächtige Dateien Statistik Einreichen Remoteverwaltung Lizenzen Glossar Schadsoftwaretypen Viren Würmer Trojaner Rootkits Adware Spyware Potenziell unsichere Anwendungen Evtl. unerwünschte Anwendungen

5 1. Einführung ESET File Security ist eine integrierte Lösung, die speziell für den Einsatz mit Microsoft Windows Server entwickelt wurde. Es bietet dauerhaft wirksamen Schutz vor verschiedenen Malware-Angriffen. ESET File Security schützt Ihr System auf zweierlei Weise: mit Viren- und Spyware-Schutz. Zu den wichtigsten Funktionen von ESET File Security zählen: Automatische Ausschlüsse - Automatische Erkennung und anschließender Ausschluss von kritischen Serverdateien zur Aufrechterhaltung eines reibungslosen Betriebs. eshell (ESET Shell) - Neue Kommandozeilen-Schnittstelle, die erfahrenen Benutzern und Administratoren weitere Optionen zur Verwaltung von ESET Security-Produkten bietet. SelfDefense - Dieses Schutzmodul verhindert, dass Änderungen an ESET Security-Produkten vorgenommen oder die Produkte deaktiviert werden. Hilfreiche Fehlerbehebung - integriert sind leistungsfähige Hilfsmittel zur Lösung verschiedener Probleme: Mit ESET SysInspector können Sie Systemdiagnosen durchführen und mit ESET SysRescue eine bootfähige Rettungs-CD erstellen. ESET File Security unterstützt Microsoft Windows Server 2000, 2003 und 2008 als Standalone- oder Cluster- Installationen. Mithilfe von ESET Remote Administrator können Sie ESET File Security in größeren Netzwerken zentral verwalten. 1.1 Systemanforderungen Unterstützte Betriebssysteme: Microsoft Windows 2000 Server Microsoft Windows Server 2003 (x86 und x64) Microsoft Windows Server 2008 (x86 und x64) Microsoft Windows Server 2008 R2 Microsoft Windows Small Business Server 2003 (x86) Microsoft Windows Small Business Server 2003 R2 (x86) Microsoft Windows Small Business Server 2008 (x64) Microsoft Windows Small Business Server 2011 (x64) Die Hardware-Anforderungen sind abhängig von der verwendeten Version des Betriebssystems. Beachten Sie die weiteren Informationen zu Hardware-Anforderungen in der Produktdokumentation zu Microsoft Windows Server. 1.2 Schutzarten Es gibt zwei Schutzarten: Virenschutz Spyware-Schutz Viren- und Spyware-Schutz gehören zu den grundlegenden Funktionen von ESET File Security. Sie schützen durch Überwachung der Dateizugriffe, der - und Internet-Kommunikation vor bösartigen Systemangriffen. Wird eine Bedrohung durch Schadcode erkannt, kann das Virenschutz-Modul den Code unschädlich machen, indem es die Ausführung des Codes blockiert und dann den Code entfernt bzw. die Datei löscht oder in die Quarantäne verschiebt. 5

6 1.3 Benutzeroberfläche Die intuitive Benutzeroberfläche von ESET File Security ist auf hohe Benutzerfreundlichkeit ausgelegt. Sie ermöglicht dem Benutzer schnell und unkompliziert Zugang zu den Hauptfunktionen des Programms. Zusätzlich zur allgemeinen Benutzeroberfläche gibt es den Menüpunkt Erweiterte Einstellungen, dessen Fenster Sie an jeder Stelle im Programm mit der Taste F5 öffnen können. Durch Drücken von F5 öffnet sich das Dialogfenster mit einer Liste der konfigurierbaren Programmfunktionen. Über dieses Fenster können Sie persönliche Einstellungen vornehmen und Funktionen konfigurieren. Die Baumstruktur zeigt zwei Bereiche: Server-Schutz und Computer-Schutz. Außerdem enthält der Bereich Server-Schutz automatische Ausschlussfilter, die für das Betriebssystem und die Systemdateien des Servers konfiguriert werden können. Der Bereich Computer-Schutz bietet Konfigurationsoptionen für den Schutz des Servercomputers selbst. 6

7 2. Installation Nach dem Kauf von ESET File Security können Sie das Installationsprogramm von der ESET-Website ( als.msi-dateipaket herunterladen. Starten Sie das Installationsprogramm. Der Installationsassistent unterstützt Sie bei der Installation. Es stehen zwei Installationsmodi zur Verfügung, die unterschiedlich viele Einstellungsmöglichkeiten bieten: 1. Standardinstallation 2. Benutzerdefinierte Installation HINWEIS: Wenn möglich, wird die Installation von ESET File Security auf einem neu installierten und konfigurierten Betriebssystem dringend empfohlen. Wenn Sie die Installation jedoch auf einem bereits vorhandenen System vornehmen müssen, ist am ratsamsten, die alte Version von ESET File Security zu deinstallieren, den Server neu zu starten und danach die neue Version ESET File Security zu installieren. 2.1 Standardinstallation Verwenden Sie den Modus Standardinstallation, wenn Sie ESET File Security schnell, aber dafür nur mit den grundlegendsten Konfigurationsmöglichkeiten installieren möchten. Die Standardinstallation wird empfohlen, wenn Sie noch keine speziellen Anforderungen an die Konfiguration haben. Nach der Installation von ESET File Security können Sie jederzeit die Programmoptionen und -einstellungen modifizieren. Im Benutzerhandbuch sind diese Einstellungen und Funktionen ausführlich beschrieben. Die in der Standardinstallation vorgegebenen Einstellungen bieten sehr gute Sicherheit in Verbindung mit hoher Benutzerfreundlichkeit und Systemleistung. Wenn Sie den Installationsmodus ausgewählt und auf Weiter geklickt haben, werden Sie aufgefordert, Ihre Lizenzdaten (Benutzername und Passwort) einzugeben. Dies ist erforderlich, damit ein kontinuierlicher Schutz des Systems gewährleistet werden kann, denn Ihre Lizenzdaten ermöglichen automatische Updates der Signaturdatenbank. Geben Sie in den entsprechenden Feldern Ihren Benutzernamen und Ihr Passwort ein, die Sie beim Kauf oder bei der Registrierung des Produkts erhalten haben. Stehen Ihnen die Lizenzdaten derzeit nicht zur Verfügung, können Sie sie zu einem späteren Zeitpunkt direkt im Programm eingeben. Als Nächstes folgt die Konfiguration des ThreatSense.Net-Frühwarnsystems. Über das ThreatSense.Net- Frühwarnsystem erhält ESET unmittelbar und fortlaufend aktuelle Informationen zu neuer Schadsoftware, um dem Benutzer umfassenden Schutz zu bieten. Das Frühwarnsystem übermittelt neue Bedrohungen an das ESET-Virenlabor, wo die entsprechenden Dateien analysiert, bearbeitet und zur Signaturdatenbank hinzugefügt werden. Standardmäßig ist die Option ThreatSense.Net-Frühwarnsystem aktivieren aktiviert. Klicken Sie auf Erweiterte Einstellungen, um Einstellungen für das Einsenden verdächtiger Dateien festzulegen. Im nächsten Schritt der Installation wird das Prüfen auf Evtl. unerwünschte Anwendungen konfiguriert. Bei eventuell unerwünschten Anwendungen handelt es sich um Programme, die zwar nicht unbedingt Sicherheitsrisiken in sich bergen, jedoch negative Auswirkungen auf das Verhalten Ihres Computers haben können. Diese Anwendungen sind oft mit anderen Programmen gebündelt und daher während des Installationsvorgangs 7

8 schwer erkennbar. Obwohl bei solchen Anwendungen während der Installation gewöhnlich eine Benachrichtigung angezeigt wird, können sie auch leicht ohne Ihre Zustimmung installiert werden. Aktivieren Sie die Option Prüfen auf Evtl. unerwünschte Anwendungen aktivieren, um die Prüfung dieser Art von Bedrohung durch ESET File Security zuzulassen (empfohlen). Wenn Sie diese Funktion nicht nutzen möchten, aktivieren Sie die Option Prüfen auf Evtl. unerwünschte Anwendungen deaktivieren. Der letzte Schritt im Standard-Installationsmodus ist die Bestätigung der Installation. Klicken Sie dazu auf die Schaltfläche Installieren. 2.2 Benutzerdefinierte Installation Die benutzerdefinierte Installation eignet sich für Benutzer, die ESET File Security während der Installation konfigurieren möchten. Wenn Sie den Installationsmodus ausgewählt und auf Weiter geklickt haben, werden Sie dazu aufgefordert, einen Speicherort für die Installation auszuwählen. Standardmäßig schlägt das Programm den Speicherort C: \Programme\ESET\ESET File Security vor. Klicken Sie auf Durchsuchen, um diesen Speicherort zu ändern (nicht empfohlen). Geben Sie dann Ihren Benutzernamen und Ihr Passwort ein. Dieser Schritt ist derselbe wie bei der Standardinstallation. Nachdem Sie Ihre Lizenzdaten eingegeben haben, klicken Sie auf Weiter, um die Einstellungen für die Internetverbindung festzulegen. Wenn Sie einen Proxyserver verwenden, muss dieser richtig eingestellt sein, damit die Signaturdatenbank ordnungsgemäß aktualisiert werden kann. Wenn der Proxyserver automatisch konfiguriert werden soll, aktivieren Sie die Standardeinstellung Mir ist nicht bekannt, ob meine Internetverbindung einen Proxyserver verwendet. Einstellungen aus der Systemsteuerung verwenden (empfohlen) und klicken Sie auf Weiter. Wenn Sie keinen Proxyserver verwenden, wählen Sie die Option Keinen Proxyserver verwenden. Wenn Sie es vorziehen, die Daten des Proxyservers selbst einzutragen, können Sie den Proxyserver auch manuell einrichten. Um die Einstellungen für Ihren Proxyserver zu konfigurieren, wählen Sie Ich nutze einen Proxyserver und klicken Sie auf Weiter. Geben Sie unter Adresse die IP-Adresse oder URL des Proxyservers ein. Im Feld Port können Sie den Port angeben, über den Verbindungen auf dem Proxyserver eingehen (standardmäßig 3128). Falls für den Proxyserver Zugangsdaten zur Authentifizierung erforderlich sind, geben Sie einen gültigen Benutzernamen und das Passwort ein. Die Einstellungen für den Proxyserver können auch aus Internet Explorer kopiert werden, falls gewünscht. Sobald Sie die Daten des Proxyservers eingegeben haben, klicken Sie auf Übernehmen und bestätigen Sie die Auswahl. Klicken Sie auf Weiter, um zu der Option Einstellungen für automatische Updates bearbeiten zu gelangen. In diesem Schritt der Installation können Sie festlegen, wie Ihr System mit automatischen Updates für Programmkomponenten verfahren soll. Klicken Sie auf Ändern, um erweiterte Einstellungen vorzunehmen. Wenn Sie nicht möchten, dass Programmkomponenten aktualisiert werden, wählen Sie Niemals ausführen. Wenn Sie 8

9 die Option Benutzer fragen auswählen, wird ein Bestätigungsfenster für das Herunterladen von Programmkomponenten angezeigt. Um Programmkomponenten automatisch zu aktualisieren, wählen Sie Immer ausführen. HINWEIS: Nach der Aktualisierung von Programmkomponenten muss der Computer üblicherweise neu gestartet werden. Wir empfehlen, die Option Kein Neustart zu aktivieren. Beim nächsten Neustart des Servers (egal, ob er geplant ist oder manuell bzw. anderweitig ausgeführt wird) treten die neuesten Updates dann in Kraft. Wenn Sie daran erinnert werden wollen, Ihren Server nach jedem Update neu zu starten, können Sie die Option Benutzer fragen wählen. Mit dieser Option können Sie den Server sofort neu starten oder den Neustart auf einen späteren Zeitpunkt verschieben. Im nächsten Installationsfenster haben Sie die Möglichkeit, die Einstellungen des Programms mit einem Passwort zu schützen. Aktivieren Sie die Option Einstellungen mit Passwort schützen und geben Sie ein Passwort Ihrer Wahl in die Felder Neues Passwort und Neues Passwort bestätigen ein. Die nächsten beiden Installationsschritte - ThreatSense.Net-Frühwarnsystem und Prüfen auf Evtl. unerwünschte Anwendungen - sind dieselben wie bei der Standardinstallation (siehe Standardinstallation). Klicken Sie im Fenster Bereit zur Installation auf Installieren, um die Installation abzuschließen. 2.3 Terminalserver Wenn Sie ESET File Security auf einem Windows-Server installiert haben, der als Terminalserver eingerichtet ist, empfehlen wir Ihnen, die grafische Benutzeroberfläche von ESET File Security zu deaktivieren, da diese sonst bei jeder Anmeldung eines Benutzers gestartet wird. Nähere Informationen hierzu finden Sie im Abschnitt Deaktivieren der Benutzeroberfläche auf Terminalserver. 9

10 2.4 Auf neuere Version aktualisieren Neuere Versionen von ESET File Security werden veröffentlicht, um Verbesserungen oder Patches durchzuführen, die ein automatisches Update der Programmmodule nicht leisten kann. Es gibt verschiedene Möglichkeiten, auf eine neuere Version zu aktualisieren: 1. Automatische Aktualisierung durch ein Programmkomponenten-Update Da Programmkomponenten-Updates an alle Benutzer des Programms ausgegeben werden und Auswirkungen auf bestimmte Systemkonfigurationen haben können, werden sie erst nach einer langen Testphase veröffentlicht. Auf diese Weise soll sichergestellt werden, dass die Aktualisierung in allen möglichen Konfigurationen des Systems reibungslos verläuft. Führen Sie einen der folgenden Schritte aus, wenn Sie gleich nach der Veröffentlichung des Upgrades auf eine neuere Version aktualisieren möchten: 2. Manuelles Upgrade durch Herunterladen und Installieren der neuen Version (ohne Deinstallation der vorherigen Version) Zu Beginn der Installation können Sie die Option Vorhandene Einstellungen übernehmen aktivieren. 3. Mit ESET Remote Administrator können Sie manuell aktualisieren und das Upgrade in einem Netzwerk automatisch verteilen. 2.5 On-Demand-Prüfung Nach der Installation von ESET File Security sollte geprüft werden, ob auf dem Computer schädlicher Code vorhanden ist. Klicken Sie dazu im Hauptprogrammfenster auf Computer prüfen und dann auf Standardprüfung. Weitere Informationen zur On-Demand-Prüfung finden Sie im Abschnitt On-Demand-Prüfung. 10

11 3. Erste Schritte Dieses Kapitel enthält eine einführende Übersicht über ESET File Security und die Grundeinstellungen des Programms. 3.1 Übersicht zur Benutzeroberfläche Das Hauptprogrammfenster von ESET File Security ist in zwei Abschnitte unterteilt. Das primäre Fenster (rechts) zeigt Informationen zu den im Hauptmenü (links) ausgewählten Optionen an. Im Folgenden werden die Optionen des Hauptmenüs beschrieben: Schutzstatus - Informationen zum Schutzstatus von ESET File Security. Im erweiterten Modus werden die Untermenüs Aktivität beobachten und Statistik angezeigt. Computer prüfen - In diesem Abschnitt können Sie bei Bedarf eine On-Demand-Prüfung starten oder die Einstellungen dazu ändern. Update - Informationen über Updates der Signaturdatenbank. Einstellungen - Wählen Sie diese Option, um die Sicherheitsstufe Ihres Computers anzupassen. Wenn der erweiterte Modus aktiviert ist, wird das Untermenü Viren- und Spyware-Schutz angezeigt. Tools - Zugriff auf Log-Dateien, Quarantäne, Taskplaner und SysInspector. Diese Option wird nur im erweiterten Modus angezeigt. Hilfe und Support - Zugriff auf Hilfedateien, die ESET-Knowledgebase, die Website von ESET und das Formular für Supportanfragen. 11

12 3.1.1 Überprüfen der Funktionsfähigkeit des Systems Zum Anzeigen des Schutzstatus klicken Sie auf die oberste Option im Hauptmenü. Im Hauptfenster wird daraufhin eine Statusmeldung über die Funktionsfähigkeit von ESET File Security und ein Untermenü mit zwei Optionen angezeigt: Aktivität beobachten und Statistik. Über diese beiden Optionen können Sie sich weitere Informationen zu Ihrem System anzeigen lassen. Ist ESET File Security voll funktionsfähig, ist das Symbol für den Schutzstatus grün. Wenn es orange oder rot ist, erfordert das System Ihre Aufmerksamkeit. Klicken Sie im Untermenü auf Aktivität beobachten, um sich die aktuelle Systemaktivität in Form eines Echtzeit- Diagramms (x-achse = Zeitverlauf) anzeigen zu lassen. Die y-achse zeigt die Menge der gelesenen Daten (blaue Linie) und die Menge der geschriebenen Daten (rote Linie) an. Im Untermenü Statistik wird Ihnen die Anzahl der infizierten, gesäuberten und sauberen Objekte für ein bestimmtes Schutzmodul angezeigt. Für welches Schutzmodul die Werte angezeigt werden sollen, können Sie über die Dropdown- Liste festlegen. 12

13 3.1.2 Vorgehensweise bei fehlerhafter Ausführung des Programms Wenn die aktivierten Module ordnungsgemäß arbeiten, sind sie mit einem grünen Häkchen markiert. Andernfalls wird ein rotes oder orangefarbenes Symbol mit Ausrufezeichen angezeigt. Weitere Informationen zu dem Modul erhalten Sie im oberen Teil des Fensters. Unter anderem finden Sie dort einen Vorschlag zur Behebung des Problems. Um den Status einzelner Module zu ändern, klicken Sie im Hauptmenü auf Einstellungen und wählen das gewünschte Modul aus. Wenn Sie ein Problem mit den vorgeschlagenen Lösungen nicht beseitigen können, klicken Sie auf Hilfe und Support, um zu den Hilfedateien oder der Knowledgebase zu gelangen. Wenn Sie danach weiterhin Unterstützung benötigen, können Sie eine Anfrage an den ESET-Support senden. Unser Support wird sich umgehend mit Ihnen in Verbindung setzen, um Ihre Fragen zu beantworten und Lösungen für Ihr Problem zu finden. 13

14 3.2 Einstellungen für Updates Updates der Signaturdatenbank und Updates von Programmkomponenten sind ein wichtiger Bestandteil der Maßnahmen für einen möglichst umfassenden Schutz vor Schadcode. Seien Sie deshalb bei Konfiguration und Ausführung besonders sorgfältig. Klicken Sie im Hauptmenü auf Update und dann im Hauptfenster auf Signaturdatenbank aktualisieren, um nach einem aktuellen Update zu suchen. Die Option Lizenzdaten eingeben öffnet das Dialogfenster für die Eingabe des Benutzernamens und Passworts, die Sie beim Kauf erhalten haben. Wenn die Lizenzdaten (Benutzername und Passwort) bereits während der Installation von ESET File Security eingegeben wurden, werden Sie nun nicht dazu aufgefordert. Das Fenster Erweiterte Einstellungen (klicken Sie im Hauptmenü auf Einstellungen und dann auf Erweiterte Einstellungen oder drücken Sie F5) enthält zusätzliche Update-Optionen. Klicken Sie in den erweiterten Einstellungen auf Update. Unter der Option Update-Server sollte Automatisch auswählen festgelegt sein. Um erweiterte Update- Optionen wie den Update-Modus, Proxyserverzugang, LAN-Verbindungen und die Erstellung von Kopien der Virussignaturen konfigurieren zu können, klicken Sie auf Einstellungen. 14

15 3.3 Einstellungen für Proxyserver Wenn Sie einen Proxyserver zur Steuerung der Internetverbindungen auf einem System mit ESET File Security verwenden, muss dieser in den erweiterten Einstellungen eingerichtet werden. Zum Öffnen des Konfigurationsfensters für den Proxyserver drücken Sie zunächst F5, um das Fenster Erweiterte Einstellungen zu öffnen, und klicken Sie dort auf Allgemein > Proxyserver. Aktivieren Sie die Option Proxyserver verwenden und füllen Sie dann die Felder Proxyserver (IP-Adresse) sowie Port aus. Aktivieren Sie ggf. die Option Proxyserver erfordert Authentifizierung und geben Sie dann Benutzername und Passwort ein. 15

16 Wenn Ihnen diese Informationen nicht zur Verfügung stehen, können Sie versuchen, die Proxyserver-Einstellungen automatisch abzurufen, indem Sie auf Proxyserver automatisch erkennen klicken. HINWEIS: Die Proxyserver-Optionen können für verschiedene Update-Profile abweichen. Konfigurieren Sie in diesem Fall die verschiedenen Update-Profile in den erweiterten Einstellungen, indem Sie dort auf Update klicken. 3.4 Einstellungen schützen Die Einstellungen von ESET File Security können im Hinblick auf die Sicherheitsrichtlinien Ihres Unternehmens von großer Wichtigkeit sein. Unbefugte Änderungen können die Stabilität und den Schutz Ihres Systems gefährden. Um die Programmeinstellungen mit einem Passwort zu schützen, klicken Sie im Hauptmenü auf Einstellungen > Erweiterte Einstellungen > Benutzeroberfläche > Einstellungen für Zugriff, wählen Sie die Option Einstellungen mit Passwort schützen und klicken Sie auf Password festlegen. Geben Sie in die Felder Neues Passwort und Neues Passwort bestätigen ein Passwort ein und klicken Sie auf OK. Um anschließend Änderungen an der Konfiguration von ESET File Security vorzunehmen, müssen Sie dieses Passwort eingeben. HINWEIS: Hier können Sie sich anzeigen lassen, wie diese Konfiguration mit eshell durchgeführt wird. 16

17 4. Arbeiten mit ESET File Security 4.1 ESET File Security - Server-Schutz ESET File Security schützt Ihren Server mit einer Reihe von leistungsstarken Funktionen: Viren- und Spyware-Schutz, Hintergrundwächter (Echtzeit-Schutz), Web-Schutz und -Client-Schutz. Zu den einzelnen Schutzmodulen erfahren Sie mehr im Abschnitt ESET File Security - Computer-Schutz. Hilfreich ist weiterhin die Funktion Automatische Ausschlüsse. Sie identifiziert Anwendungen und Betriebssystem-Dateien, die für den Serverbetrieb unbedingt notwendig sind, und übernimmt sie automatisch in die Liste Ausgeschlossene Elemente. Auf diese Weise wird das Risiko von Konflikten durch die Virenschutz-Software minimiert und die Gesamtleistung des Servers gesteigert Automatische Ausschlüsse Die Entwickler von Server-Anwendungen und Betriebssystemen empfehlen für die meisten ihrer Produkte, kritische Arbeitsdateien und -ordner vom Virenschutz auszuschließen. Prüfungen mit einer Virenschutz-Software können die Serverleistung beeinträchtigen, zu Konflikten führen und sogar die Ausführung mancher Anwendungen auf dem Server verhindern. Ausschlussfilter können beim Anwenden von Virenschutz-Software das Konfliktrisiko minimieren und die Gesamtleistung des Servers steigern. ESET File Security identifiziert Anwendungen und Betriebssystem-Dateien, die für den Server kritisch sind, und übernimmt sie automatisch in die Liste Ausgeschlossene Elemente. Sobald diese Elemente der Liste hinzugefügt wurden, kann über das entsprechende Kontrollkästchen der Serverprozess bzw. die Serveranwendung mit folgendem Ergebnis aktiviert (Standard) und deaktiviert werden: 1) Bleibt eine Anwendung bzw. eine Betriebssystemdatei weiterhin ausgeschlossen, werden alle zugehörigen kritischen Dateien und Ordner zur Liste der von der Prüfung ausgeschlossenen Elemente hinzugefügt (Erweiterte Einstellungen > Computer-Schutz > Viren- und Spyware-Schutz > Ausgeschlossene Elemente). Bei jedem Neustart des Servers werden die Ausschlüsse automatisch überprüft und alle aus der Liste gelöschten Ausschlüsse wiederhergestellt. Diese Einstellung wird empfohlen, wenn Sie sicherstellen wollen, dass die empfohlenen automatischen Ausschlüsse immer angewendet werden. 2) Wenn der Benutzer den Ausschluss einer Anwendung bzw. eines Betriebssystems aufhebt, bleiben alle zugehörigen kritischen Dateien und Ordner in der Liste der von der Prüfung ausgeschlossenen Elemente (Erweiterte Einstellungen > Computer-Schutz > Viren- und Spyware-Schutz > Ausgeschlossene Elemente). Sie werden jedoch nicht bei jedem Neustart des Servers automatisch überprüft und in der Liste Ausgeschlossene Elemente aktualisiert (siehe Punkt 1 oben). Wir empfehlen diese Einstellung fortgeschrittenen Benutzern, die Standard- Ausschlüsse entfernen oder bearbeiten möchten. Wenn Sie Elemente aus der Ausschlussliste entfernen möchten, ohne den Server neu zu starten, müssen Sie manuell vorgehen (Erweiterte Einstellungen > Computer-Schutz > Viren- und Spyware-Schutz > Ausgeschlossene Elemente). Benutzerdefinierte Ausschlüsse, die manuell eingetragen wurden (Erweiterte Einstellungen > Computer-Schutz > Viren- und Spyware-Schutz > Ausgeschlossene Elemente), sind von den oben beschriebenen Einstellungen nicht betroffen. Die automatischen Ausschlüsse für Serveranwendungen bzw. Betriebssystemdateien werden nach Microsoft- Empfehlungen ausgewählt. Weitere Informationen finden Sie hier:

18 4.2 ESET File Security - Computer-Schutz ESET File Security verfügt über alle notwendigen Funktionen, um einen umfassenden Schutz des Servers als Computer zu gewährleisten. Ihr Server wird mit den folgenden leistungsfähigen Schutzmodulen geschützt: Viren- und Spyware- Schutz, Hintergrundwächter (Echtzeit-Schutz), Web-Schutz und -Client-Schutz Viren- und Spyware-Schutz Virenschutzlösungen bieten durch Überwachung der Daten-, - und Internet-Kommunikation Schutz vor bösartigen Systemangriffen. Wird eine Bedrohung durch Schadcode erkannt, kann das Virenschutz-Modul den Code unschädlich machen, indem es zunächst die Ausführung des Codes blockiert und dann den Code entfernt bzw. die Datei löscht oder in die Quarantäne verschiebt Echtzeit-Dateischutz Der Echtzeit-Dateischutz überwacht alle für den Virenschutz relevanten Systemereignisse. Alle Dateien werden beim Öffnen, Erstellen oder Ausführen auf Ihrem Computer auf Schadcode geprüft. Der Echtzeit-Dateischutz wird beim Systemstart gestartet Prüfeinstellungen Der Echtzeit-Dateischutz prüft alle Datenträger, wobei die Prüfung von verschiedenen Ereignissen ausgelöst wird. Durch die Verwendung der ThreatSense-Erkennungsmethoden (siehe Abschnitt Einstellungen für ThreatSense) kann der Echtzeit-Dateischutz für neu erstellte und vorhandene Dateien variieren. Neu erstellte Dateien können einer noch gründlicheren Prüfung unterzogen werden. Bereits geprüfte Dateien werden nicht erneut geprüft (sofern sie nicht geändert wurden), um die Systembelastung durch den Echtzeit-Dateischutz möglichst gering zu halten. Nach einem Update der Signaturdatenbank werden die Dateien sofort wieder geprüft. Mit der Smart-Optimierung legen Sie diese Prüfeinstellung fest. Ist diese Option deaktiviert, werden alle Dateien bei jedem Zugriff geprüft. Um den Optionsmodus zu ändern, öffnen Sie das Fenster mit den erweiterten Einstellungen und klicken auf Viren- und Spyware-Schutz > Echtzeit-Dateischutz. Klicken Sie als Nächstes auf die Schaltfläche Einstellungen neben Einstellungen für ThreatSense, dann auf Sonstige und aktivieren bzw. deaktivieren Sie die Option Smart-Optimierung aktivieren. Der Echtzeit-Dateischutz wird standardmäßig beim Systemstart gestartet und fortlaufend ausgeführt. In Ausnahmefällen (z. B. bei einem Konflikt mit einer anderen Echtzeitprüfung) kann die Ausführung des Echtzeit- Dateischutzes abgebrochen werden. Deaktivieren Sie dazu die Option Echtzeit-Dateischutz automatisch starten. 18

19 Zu prüfende Datenträger In der Standardeinstellung werden alle Datenträger auf mögliche Bedrohungen geprüft. Lokale Laufwerke - Geprüft werden alle lokalen Laufwerke Wechselmedien - Geprüft werden Disketten, USB-Speichergeräte usw. Netzlaufwerke - Geprüft werden alle zugeordneten Netzlaufwerke Es wird empfohlen, diese Einstellungen nur in Ausnahmefällen zu ändern, z. B. wenn die Prüfung bestimmter Datenträger die Datenübertragung deutlich verlangsamt Prüfen beim (ereignisgesteuerte Prüfung) Standardmäßig werden alle Dateien beim Öffnen, Erstellen und Ausführen geprüft. Wir empfehlen Ihnen, die Standardeinstellungen beizubehalten. So bietet der Echtzeit-Dateischutz auf Ihrem Computer maximale Sicherheit. Über die Option Diskettenzugriff können Sie den Bootsektor einer Diskette prüfen, wenn auf das entsprechende Laufwerk zugegriffen wird. Über die Option Herunterfahren können Sie die Festplatten-Bootsektoren beim Herunterfahren des Computers prüfen. Auch wenn Boot-Viren heutzutage selten sind, sollten Sie diese Optionen dennoch aktivieren, da die Gefahr der Infektion durch einen Boot-Virus aus alternativen Quellen durchaus besteht Erweiterte Optionen für Prüfungen Detailliertere Einstellungsoptionen finden Sie unter Computer-Schutz > Viren- und Spyware-Schutz > Echtzeit- Dateischutz > Erweiterte Einstellungen. Zusätzliche ThreatSense-Einstellungen für neu erstellte und geänderte Dateien - Das Infektionsrisiko für neu erstellte oder geänderte Dateien ist vergleichsweise größer als für vorhandene Dateien. Daher prüft das Programm solche Dateien mit zusätzlichen Parametern. Zusätzlich zu den Prüfmethoden auf Signaturbasis wird die Advanced Heuristik verwendet, wodurch die Erkennungsrate deutlich steigt. Neben neu erstellten Dateien werden auch selbstentpackende Archive (SFX) und laufzeitkomprimierte Dateien (intern komprimierte, ausführbare Dateien) geprüft. In den Standardeinstellungen werden Archive unabhängig von ihrer eigentlichen Größe bis zur 10. Verschachtelungstiefe geprüft. Deaktivieren Sie die Option Standard-Archivprüfeinstellungen, um die Archivprüfeinstellungen zu ändern. Zusätzliche ThreatSense.Net-Einstellungen für ausführbare Dateien - Standardmäßig wird bei der Dateiausführung keine Advanced Heuristik verwendet. Unter Umständen kann es jedoch sinnvoll sein, diese Option mit dem Kontrollkästchen Advanced Heuristik bei Dateiausführung zu aktivieren. Beachten Sie, dass die Advanced Heuristik die Ausführung einiger Programme aufgrund erhöhter Systemanforderungen verlangsamen kann Säuberungsstufen Für den Echtzeit-Dateischutz stehen drei Säuberungsstufen zur Auswahl. Um eine Säuberungsstufe auszuwählen, klicken Sie auf die Schaltfläche Einstellungen im Bereich Echtzeit-Dateischutz und dann auf Säubern. Auf der ersten Stufe, Nicht säubern, wird für jede erkannte eingedrungene Schadsoftware eine Warnung angezeigt, die eine Auswahl an Optionen bereitstellt. Sie müssen für jede eingedrungene Schadsoftware eine eigene Aktion auswählen. Diese Stufe eignet sich für fortgeschrittene Benutzer, die wissen, wie sie im Falle eingedrungener Schadsoftware vorgehen sollen. Auf der Standard-Säuberungsstufe wird automatisch eine vordefinierte Aktion ausgewählt und ausgeführt, je nach Typ der eingedrungenen Schadsoftware. Eine Nachricht am unteren rechten Bildschirmrand informiert über die Erkennung und das Löschen infizierter Dateien. Eine automatische Aktion wird nicht ausgeführt, wenn sich die infizierte Datei in einem Archiv befindet und dieses weitere nicht infizierte Dateien enthält. Gleiches gilt für Objekte, für die keine vordefinierte Aktion angegeben wurde. Die dritte Säuberungsstufe, Immer versuchen, automatisch zu entfernen, ist am aggressivsten ; der Schadcode aller infizierten Objekte wird entfernt. Da hierbei möglicherweise wichtige Dateien verloren gehen, sollten Sie auf diesen Modus nur in besonderen Fällen zurückgreifen. 19

20 Wann sollten die Einstellungen für den Echtzeit-Dateischutz geändert werden? Der Echtzeit-Dateischutz ist die wichtigste Komponente für ein sicheres System. Daher sollte gründlich geprüft werden, ob eine Änderung der Einstellungen wirklich notwendig ist. Es wird empfohlen, seine Parameter nur in einzelnen Fällen zu verändern. Dies kann beispielsweise erforderlich sein, wenn ein Konflikt mit einer bestimmten Anwendung oder der Echtzeit-Prüfung eines anderen Virenschutzprogramms vorliegt. Bei der Installation von ESET File Security werden alle Einstellungen optimal eingerichtet, um dem Benutzer die größtmögliche Schutzstufe für das System zu bieten. Um die Standardeinstellungen wiederherzustellen, klicken Sie auf Standard unten rechts im Fenster Echtzeit-Dateischutz (Erweiterte Einstellungen > Viren- und Spyware-Schutz > Echtzeit-Dateischutz) Echtzeit-Dateischutz prüfen Um sicherzustellen, dass der Echtzeit-Dateischutz aktiv ist und Viren erkennt, verwenden Sie eine Testdatei von eicar. com. Diese Testdatei ist harmlos und wird von allen Virenschutzprogrammen erkannt. Die Datei wurde von der Firma EICAR (European Institute for Computer Antivirus Research) erstellt, um die Funktionalität von Virenschutzprogrammen zu testen. Die Datei eicar.com kann unter heruntergeladen werden. HINWEIS: Bevor Sie eine Prüfung des Echtzeit-Dateischutzes durchführen, müssen Sie die Firewall deaktivieren. Bei aktivierter Firewall wird die Datei erkannt, und die Testdateien können nicht heruntergeladen werden Vorgehensweise bei fehlerhaftem Echtzeit-Dateischutz Im nächsten Kapitel werden mögliche Probleme mit dem Echtzeit-Dateischutz sowie Lösungsstrategien beschrieben. Echtzeit-Dateischutz ist deaktiviert Der Echtzeit-Dateischutz wurde versehentlich von einem Benutzer deaktiviert und muss reaktiviert werden. Um den Echtzeit-Dateischutz wieder zu aktivieren, wählen Sie Einstellungen > Viren- und Spyware-Schutz und klicken auf Aktivieren im Bereich Echtzeit-Dateischutz des Hauptprogrammfensters. Wenn der Echtzeit-Dateischutz beim Systemstart nicht gestartet wird, ist wahrscheinlich die Option Echtzeit- Dateischutz automatisch starten deaktiviert. Zum Reaktivieren dieser Option klicken Sie in den erweiterten Einstellungen (F5) auf Echtzeit-Dateischutz. Aktivieren Sie im Bereich Erweiterte Einstellungen am unteren Rand des Fensters das Kontrollkästchen Echtzeit-Dateischutz automatisch starten. 20

21 Echtzeit-Dateischutz erkennt und entfernt keinen Schadcode Stellen Sie sicher, dass keine anderen Virenschutzprogramme auf Ihrem Computer installiert sind. Zwei parallel ausgeführte Schutzprogramme können miteinander in Konflikt geraten. Wir empfehlen Ihnen, alle anderen Virenschutzprogramme zu deinstallieren. Echtzeit-Dateischutz startet nicht Wenn der Echtzeit-Dateischutz beim Systemstart nicht initialisiert wird (und die Option Echtzeit-Dateischutz automatisch starten aktiviert ist), kann das an Konflikten mit anderen Programmen liegen. Sollte dies der Fall sein, wenden Sie sich an den ESET-Support Client-Schutz Der -Schutz dient der Überwachung eingehender s, die mit dem POP3-Protokoll übertragen werden. Mithilfe der Plugin-Software für Microsoft Outlook stellt ESET File Security Kontrollfunktionen für die gesamte - Kommunikation (POP3, MAPI, IMAP, HTTP) bereit. Für die Prüfung eingehender Nachrichten verwendet das Programm alle erweiterten ThreatSense-Prüfmethoden. Die Erkennung von Schadcode findet also noch vor dem Abgleich mit der Signaturdatenbank statt. Die Prüfung der POP3- Kommunikation erfolgt unabhängig vom verwendeten -Programm POP3-Prüfung Das POP3-Protokoll ist das am häufigsten verwendete Protokoll zum Empfangen von s mit einem - Programm. ESET File Security bietet POP3-Protokoll-Schutzfunktionen unabhängig vom verwendeten - Programm. Das Modul, das diese Kontrollfunktion bereitstellt, wird automatisch beim Systemstart initialisiert und ist dann im Speicher aktiv. Um das Modul einsetzen zu können, muss es aktiviert sein. Die POP3-Prüfung wird automatisch ausgeführt, und das -Programm muss nicht neu konfiguriert werden. In der Standardeinstellung wird die gesamte Kommunikation über Port 110 geprüft. Bei Bedarf können weitere Kommunikationsports hinzugefügt werden. Portnummern müssen durch ein Komma voneinander getrennt sein. Verschlüsselter Datenverkehr wird nicht geprüft. Um den POP3/POP3S-Filter nutzen zu können, müssen Sie zuerst das Prüfen von Anwendungsprotokollen aktivieren. Wenn die Optionen für POP3/POP3S grau dargestellt sind, klicken Sie im Bereich Erweiterte Einstellungen auf Computer-Schutz > Viren- und Spyware-Schutz > Prüfen von Anwendungsprotokollen und aktivieren Sie die Option Prüfen von anwendungsspezifischen Protokollen aktivieren. Im Abschnitt Prüfen von 21

22 Anwendungsprotokollen finden Sie weitere Informationen zum Prüfen mit Filtern und zu deren Konfiguration Kompatibilität Bei bestimmten -Programmen können Probleme bei der POP3-Prüfung auftreten (wenn Sie z. B. eine langsame Internetverbindung verwenden, kann es beim Prüfen zu Zeitüberschreitungen kommen). Sollte dies der Fall sein, ändern Sie die Prüfeinstellungen. Wenn Sie die Prüfmethoden lockern, kann dies die Geschwindigkeit beim Entfernen von Schadcode erhöhen. Um den Grad der POP3-Prüfung anzupassen, klicken Sie in den erweiterten Einstellungen auf Viren- und Spyware-Schutz > -Schutz > POP3, POP3S > Kompatibilität. Bei Aktivierung der Option Maximaler Funktionsumfang wird eingedrungener Schadcode aus infizierten Nachrichten entfernt, sofern die Option Löschen oder Säubern bzw. die Säuberungsstufe Immer versuchen, automatisch zu säubern oder Standard aktiviert ist. Außerdem werden Informationen über den Schadcode vor dem ursprünglichen E- Mail-Betreff eingefügt. Mittlere Kompatibilität ändert die Art und Weise, wie Nachrichten empfangen werden. Nachrichten werden stückweise an das -Programm gesendet. Nachdem der letzte Teil der Nachricht übertragen wurde, wird die Nachricht auf Schadcode geprüft. Bei dieser Prüfmethode steigt das Infektionsrisiko. Die Säuberungsstufe und die Behandlung von Prüfhinweisen (Warnhinweise, die an die Betreffzeile und den -Body angehängt werden) entsprechen den Einstellungen der Option Maximaler Funktionsumfang. Bei der Stufe Maximaler Funktionsumfang wird der Benutzer mithilfe eines Alarmfensters über den Empfang einer infizierten Nachricht informiert. Es werden keine Informationen über infizierte Dateien an die Betreffzeile oder den Body eingegangener Nachrichten angehängt, und eingedrungener Schadcode wird nicht automatisch entfernt; Sie müssen infizierte Dateien in dem -Programm löschen. 22

23 Integration mit -Programmen Die Integration von ESET File Security mit -Programmen verbessert den aktiven Schutz gegen Schadcode in E- Mail-Nachrichten. Wenn Ihr -Programm dies unterstützt, kann die Integration in ESET File Security aktiviert werden. Bei aktivierter Integration kontrolliert ESET File Security die Verbindungen zum -Programm, und die E- Mail-Kommunikation wird dadurch sicherer. Die Integrationseinstellungen finden Sie unter Einstellungen > Erweiterte Einstellungen > Allgemein > Integration in -Programme. Über die Option Integration in -Programme können Sie die Integration mit unterstützten -Programmen aktivieren. Zu den derzeit unterstützten - Programmen gehören Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail und Mozilla Thunderbird. Wählen Sie die Option Prüfen neuer Elemente im Posteingang deaktivieren, falls Sie während der Arbeit mit Ihrem E- Mail-Programm eine Systemverlangsamung bemerken. Dies kann auftreten, wenn Sie s vom Kerio Outlook Connector Store herunterladen. Sie aktivieren den -Schutz auf folgendem Weg: Einstellungen > Erweiterte Einstellungen > Allgemein > - Client-Schutz > Viren- und Spyware-Schutz für -Client-Schutz aktivieren. 23

24 Body Prüfhinweise hinzufügen Jede von ESET File Security geprüfte kann durch Hinzufügen eines Prüfhinweises an den Betreff oder den - Body markiert werden. Diese Funktion erhöht beim Empfänger die Glaubwürdigkeit von Nachrichten. Bei der Erkennung von eingedrungener Schadsoftware stehen wertvolle Informationen zur Verfügung, um den Bedrohungsgrad durch die Nachricht oder den Absender einzuschätzen. Die Optionen für diese Funktion finden Sie unter Erweiterte Einstellungen > Viren- und Spyware-Schutz > - Client-Schutz. Sie haben folgende Optionen: Prüfhinweis zu eingehenden/gelesenen s hinzufügen und Prüfhinweis zu ausgehenden s hinzufügen. Außerdem können Sie entscheiden, ob Prüfhinweise allen geprüften s, nur infizierten s oder gar keinen s hinzugefügt werden. ESET File Security kann auch Hinweise an den ursprünglichen Betreff der infizierten s anhängen. Wählen Sie dazu Prüfhinweis an den Betreff empfangener und gelesener infizierter s anhängen und Prüfhinweis an den Betreff ausgehender infizierter s anhängen. Der Inhalt der Hinweise kann im Feld Text, der zur Betreffzeile infizierter s hinzugefügt wird bearbeitet werden. Die erwähnte Bearbeitung kann das Filtern von infizierten s automatisieren, indem infizierte s mit einem bestimmten Betreff in einem separaten Ordner abgelegt werden (falls Ihr -Programm dies unterstützt) Eingedrungene Schadsoftware entfernen Bei Empfang einer infizierten -Nachricht wird eine Warnung angezeigt. Die Warnung enthält den Namen des Absenders, die und den Namen der eingedrungenen Schadsoftware. Im unteren Bereich des Fensters können Sie zwischen den Optionen Säubern, Löschen oder Übergehen für das erkannte Objekt auswählen. In fast allen Fällen sollten Sie entweder Säubern oder Löschen wählen. Um die infizierte Datei in Ausnahmesituationen zu empfangen, wählen Sie Übergehen. Bei Aktivierung von Immer versuchen, automatisch zu säubern enthält das angezeigte Informationsfenster keinerlei Auswahloptionen für das infizierte Objekt. 24

25 Web-Schutz Internetzugang ist eine Standardfunktion von Computern. Leider ist diese technische Möglichkeit mittlerweile auch der wichtigste Weg zur Verbreitung von Schadsoftware. Daher müssen Sie Art und Umfang Ihres Web-Schutzes genau abwägen. Wir empfehlen dringend, dass die Option Viren- und Spyware-Schutz aktivieren zu aktivieren. Dieses Kontrollkästchen erreichen Sie über Erweiterte Einstellungen (F5) > Viren- und Spyware-Schutz > Web-Schutz HTTP, HTTPS Der Web-Schutz besteht in der Überwachung der Kommunikation zwischen Webbrowsern und Remoteservern und entspricht den Regeln für HTTP (Hypertext Transfer Protocol) und HTTPS (verschlüsselte Kommunikation). ESET File Security ist standardmäßig für die Standards der gängigen Webbrowser konfiguriert. Dennoch können Sie die Einstellungen für die HTTP-Prüfung unter Erweiterte Einstellungen (F5) > Viren- und Spyware-Schutz > Web-Schutz > HTTP, HTTPS bearbeiten. Im Hauptfenster für die HTTP-Filterung können Sie die Option HTTP-Prüfung aktivieren aus- bzw. abwählen. Außerdem können Sie die Portnummern für die HTTP-Kommunikation festlegen. In der Standardeinstellung sind die Portnummern 80, 8080 und 3128 vorgegeben. Folgende Optionen stehen für die HTTPS- Prüfung zur Verfügung: HTTPS-Protokollprüfung nicht verwenden - Verschlüsselte Kommunikation wird nicht geprüft HTTPS-Protokollprüfung für ausgewählte Ports durchführen - Die HTTPS-Prüfung wird nur für die im Bereich Portnutzung HTTPS-Protokoll festgelegten Ports durchgeführt. 25

26 Adressverwaltung In diesem Bereich können Sie festlegen, welche HTTP-Adressen blockiert, zugelassen oder von der Prüfung ausgeschlossen werden sollen. Mit den Schaltflächen Hinzufügen, Bearbeiten, Entfernen und Exportieren können Sie die Adresslisten verwalten. Auf Websites, die in der Liste der blockierten Adressen aufgeführt sind, ist kein Zugriff möglich. Websites, die in der Liste der ausgeschlossenen Websites aufgeführt sind, werden vor dem Zugriff nicht auf Schadcode überprüft. Durch Aktivierung der Option Nur Zugriff auf HTTP-Adressen aus der Liste zulässiger Adressen erlauben können Sie nur auf Adressen in dieser Liste zugreifen, während alle anderen HTTP-Adressen blockiert werden. In allen Listen können Sie die Platzhalterzeichen * (Sternchen) und? (Fragezeichen) verwenden. Das Sternchen steht für eine beliebige Zeichenfolge, das Fragezeichen für ein einzelnes Zeichen. Gehen Sie in diesem Zusammenhang bei der Liste der ausgeschlossenen Adressen mit Bedacht vor, da diese nur vertrauenswürdige und sichere Adressen enthalten darf. Achten Sie daher gerade bei dieser Liste darauf, dass die Platzhalter * und? korrekt verwendet werden. Um eine Liste zu aktivieren, wählen Sie die Option Liste aktiv. Wenn Sie beim Zugriff auf eine Adresse aus der aktuellen Liste benachrichtigt werden möchten, wählen Sie Benachrichtigung bei Verwendung von Adresse aus Liste. 26

27 Aktiver Modus Die Liste der als Webbrowser eingestuften Anwendungen kann direkt im Untermenü Webbrowser im Menübereich HTTP, HTTPS eingesehen werden. Dieser Abschnitt enthält außerdem das Untermenü Aktiver Modus, in dem der Prüfungsmodus für die Webbrowser festgelegt wird. Die Funktion Aktiver Modus dient der Untersuchung der übertragenen Daten als Ganzes. Ist die Option nicht aktiviert, wird die Kommunikation der Anwendungen nur Stück für Stück überwacht. Dies verringert die Effizienz der Datenverifizierung, erhöht jedoch die Kompatibilität der aufgeführten Anwendungen. Verursacht das Verfahren keine Probleme, sollten Sie den aktiven Modus aktivieren, indem Sie im Kontrollkästchen der gewünschten Anwendung ein Häkchen setzen. 27

28 On-Demand-Prüfung Wenn Sie den Verdacht haben, dass Ihr Computer infiziert ist (anormales Verhalten), führen Sie eine On-Demand- Prüfung aus, um Ihren Computer auf eingedrungene Schadsoftware zu untersuchen. Aus Sicherheitsgründen ist es dringend erforderlich, dass Sie Ihren Computer nicht nur bei Infektionsverdacht prüfen, sondern diese Prüfung in die allgemeinen Sicherheitsroutinen integrieren. Durch regelmäßige Prüfungen kann eingedrungene Schadsoftware erkannt werden, die vom Echtzeit-Dateischutz zum Zeitpunkt der Speicherung der Schadsoftware nicht erkannt wurde. Dies kommt z. B. vor, wenn die Echtzeit-Prüfung zum Zeitpunkt der Infektion deaktiviert war oder die Signaturdatenbank nicht auf dem neuesten Stand ist. Sie sollten mindestens einmal im Monat eine On-Demand-Prüfung vornehmen. Sie können die Prüfung als Task unter Tools > Taskplaner konfigurieren Prüfungstyp Es gibt zwei verschiedene Arten der On-Demand-Prüfung. Bei der Standardprüfung wird das System schnell überprüft, ohne dass Sie dafür weitere Prüfparameter konfigurieren müssen. Bei der Methode Prüfen mit speziellen Einstellungen können Sie ein vordefiniertes Prüfprofil und die zu prüfenden Objekte auswählen Standardprüfung Mit der Standardprüfung können Sie schnell den Computer prüfen und infizierte Dateien säubern, ohne eingreifen zu müssen. Die Bedienung ist einfach, und es ist keine ausführliche Konfiguration erforderlich. Bei der Standardprüfung werden alle Dateien auf allen Laufwerken geprüft, und erkannte eingedrungene Schadsoftware wird automatisch entfernt. Als Säuberungsstufe wird automatisch der Standardwert festgelegt. Weitere Informationen zu den Entfernungstypen finden Sie unter Entfernen. 28

29 Prüfen mit speziellen Einstellungen Über die Option Prüfen mit speziellen Einstellungen können Sie Prüfparameter wie die zu prüfenden Objekte oder Prüfmethoden angeben. Der Vorteil dieser Methode ist die Möglichkeit zur genauen Parameterkonfiguration. Verschiedene Konfigurationen können in benutzerdefinierten Prüfprofilen gespeichert werden. Das ist sinnvoll, wenn Prüfungen wiederholt mit denselben Parametern ausgeführt werden. Mit der Option Computer prüfen > Prüfen mit speziellen Einstellungen können Sie Zu prüfende Objekte aus der Liste oder in der Baumstruktur auswählen. Sie können ein zu prüfendes Objekt auch genauer bestimmen, indem Sie den Pfad zu dem Ordner oder den Dateien eingeben, die geprüft werden sollen. Wenn Sie nur das System ohne zusätzliche Säuberung prüfen möchten, wählen Sie die Option Nur prüfen, keine Aktion. Außerdem können Sie zwischen drei Säuberungsstufen wählen. Klicken Sie dazu auf Einstellungen > Säubern Zu prüfende Objekte In der Dropdown-Liste der zu prüfenden Objekte können Sie Dateien, Ordner und Medien (Laufwerke) auswählen, die auf Viren geprüft werden sollen. Nach Profileinstellungen - Prüfziele entsprechen denen, die im Profil festgelegt sind Wechselmedien - Geprüft werden Disketten, USB-Speichergeräte, CDs/DVDs Lokale Laufwerke - Geprüft werden alle lokalen Laufwerke Netzlaufwerke - Geprüft werden alle verbundenen Netzlaufwerke Keine Auswahl - Bricht die Zielauswahl ab Sie können ein zu prüfendes Objekt auch genauer definieren, indem Sie den Pfad zu dem Ordner oder den Dateien eingeben, die geprüft werden sollen. Wählen Sie die zu prüfenden Objekte aus der Baumstruktur aus, in der alle auf dem Computer verfügbaren Ordner aufgelistet werden. 29

30 Prüfprofile Ihre bevorzugten Einstellungen können für zukünftige Prüfungen gespeichert werden. Wir empfehlen Ihnen, für jede regelmäßig durchgeführte Prüfung ein eigenes Profil zu erstellen (mit verschiedenen zu prüfenden Objekten, Prüfmethoden und anderen Parametern). Um ein neues Profil zu erstellen, öffnen sie das Fenster mit den erweiterten Einstellungen (F5) und klicken Sie auf On-Demand-Prüfung > Profile. Im Fenster Konfigurationsprofile befindet sich eine Dropdown-Liste mit den bestehenden Prüfprofilen und der Option zum Erstellen eines neuen Profils. Eine Beschreibung der einzelnen Prüfeinstellungen finden Sie im Abschnitt Einstellungen für ThreatSense. So können Sie ein Prüfprofil erstellen, das auf Ihre Anforderungen zugeschnitten ist. BEISPIEL: Nehmen wir an, Sie möchten Ihr eigenes Prüfprofil erstellen. Die Standardprüfung eignet sich in gewissem Maße, aber Sie möchten nicht die laufzeitkomprimierten Dateien oder potenziell unsichere Anwendungen prüfen. Außerdem möchten Sie die Option Immer versuchen, automatisch zu entfernen anwenden. Klicken Sie im Fenster Konfigurationsprofile auf die Schaltfläche Hinzufügen. Geben Sie den Namen des neuen Profils im Feld Profilname ein und wählen Sie aus dem Dropdown-Menü Einstellungen kopieren von Profil die Option Smart-Prüfung. Passen Sie anschließend die übrigen Parameter Ihren eigenen Erfordernissen an Kommandozeile Das Virenschutz-Modul von ESET File Security kann über die Kommandozeile gestartet werden, entweder manuell (mit dem Befehl ecls ) oder über eine Batch-Datei (.bat ). Folgende Parameter und Switches stehen zur Verfügung, um die manuelle Prüfung über die Kommandozeile auszuführen: Allgemeine Optionen: - help Hilfe anzeigen und beenden - version Versionsinformationen anzeigen und beenden - base-dir = ORDNER Module laden aus ORDNER - quar-dir = ORDNER Quarantäne-ORDNER - aind Aktivitätsanzeige anzeigen Zu prüfende Objekte: - files Dateien prüfen (Standardeinstellung) - no-files Dateien nicht prüfen - boots Bootsektoren prüfen (Standardeinstellung) - no-boots Bootsektoren nicht prüfen - arch Archive prüfen (Standardeinstellung) - no-arch Archive nicht prüfen - max-archive-level = LEVEL Maximale Verschachtelungsstufe (LEVEL) bei Archiven - scan-timeout = LIMIT Archive maximal LIMIT Sekunden prüfen. Wenn die Dauer der Prüfung den festgelegten Wert erreicht, wird die Prüfung beendet und die Prüfung der nächsten Datei beginnt. - max-arch-size = ANZAHL Nur die ersten ANZAHL Byte in Archiven prüfen (Standardeinstellung: 0 = unbegrenzt) - mail -Dateien prüfen - no-mail -Dateien nicht prüfen - sfx Selbstentpackende Archive prüfen - no-sfx Selbstentpackende Archive nicht prüfen - rtp Laufzeitkomprimierte Dateien prüfen - no-rtp Laufzeitkomprimierte Dateien nicht prüfen - exclude = ORDNER ORDNER von der Prüfung ausschließen - subdir Unterordner prüfen (Standardeinstellung) 30

31 - no-subdir Unterordner nicht prüfen - max-subdir-level = LEVEL Maximale Verschachtelungsstufe (LEVEL) bei untergeordneten Verzeichnissen (Standardeinstellung: 0 = unbegrenzt) - symlink Symbolischen Links folgen (Standardeinstellung) - no-symlink Symbolischen Links nicht folgen - ext-remove = ERWEITERUNGEN - ext-exclude = ERWEITERUNGEN ERWEITERUNGEN (Trennzeichen Doppelpunkt) nicht prüfen Methoden: - adware Auf Adware/Spyware/Riskware prüfen - no-adware Nicht auf Adware/Spyware/Riskware prüfen - unsafe Auf potenziell unsichere Anwendungen prüfen - no-unsafe Nicht auf potenziell unsichere Anwendungen prüfen - unwanted Auf evtl. unerwünschte Anwendungen prüfen - no-unwanted Nicht auf potenziell unerwünschte Anwendungen prüfen - pattern Signaturdatenbank verwenden - no-pattern Signaturdatenbank nicht verwenden - heur Heuristik aktivieren - no-heur Heuristik deaktivieren - adv-heur Advanced Heuristik aktivieren - no-adv-heur Advanced Heuristik deaktivieren Säubern: - action = AKTION AKTION für infizierte Objekte ausführen. Mögliche Aktionen: none, clean, prompt (keine, Säubern, Aufforderung anzeigen) - quarantine Infizierte Dateien in die Quarantäne kopieren (ergänzt AKTION) - no-quarantine Infizierte Dateien nicht in die Quarantäne kopieren Logs: - log-file=datei Ausgabe in DATEI protokollieren - log-rewrite Ausgabedatei überschreiben (Standardeinstellung: Anhängen) - log-all Saubere Dateien auch in Log aufnehmen - no-log-all Saubere Dateien nicht in Log aufnehmen (Standardeinstellung) Mögliche Exitcodes der Prüfung: 0 Keine Bedrohungen gefunden 1 Bedrohung gefunden, aber nicht entfernt 10 Es sind noch infizierte Dateien vorhanden 101 Archivfehler 102 Zugriffsfehler 103 Interner Fehler HINWEIS: Exitcodes größer 100 bedeuten, dass die Datei nicht geprüft wurde und daher infiziert sein kann Performance In diesem Bereich können Sie die Anzahl der ThreatSense-Prüfengines festlegen, die für den Virenschutz eingesetzt werden sollen. Auf Mehrprozessor-Computern kann eine höhere Anzahl an ThreatSense-Prüfengines die Prüfrate erhöhen. Der zulässige Wertebereich ist HINWEIS: In diesem Bereich vorgenommene Änderungen werden erst nach einem Neustart übernommen. 31

32 Prüfen von Anwendungsprotokollen Die ThreatSense-Prüfengine, in der alle erweiterten Prüfmethoden integriert sind, bietet Virenschutz für die Anwendungsprotokolle POP3 und HTTP. Die Prüfung ist unabhängig vom eingesetzten -Programm oder Webbrowser. Für das Prüfen von Anwendungsprotokollen stehen folgende Optionen zur Verfügung (vorausgesetzt, die Option Prüfen von anwendungsspezifischen Protokollen aktivieren ist aktiviert): HTTP- und POP3-Ports - Begrenzt die Prüfung des Datenverkehrs auf bekannte HTTP- und POP3-Ports. Als Webbrowser oder -Programme eingestufte Anwendungen - Mit dem Aktivieren dieser Option wird nur der Datenverkehr von Anwendungen geprüft, die als Webbrowser (Web-Schutz > HTTP, HTTPS > Webbrowser) und E- Mail-Programme ( -Client-Schutz > POP3, POP3S > -Clients) eingestuft sind. Als Webbrowser oder -Programme eingestufte Ports und Anwendungen - Sowohl Ports als auch Webbrowser werden auf Schadsoftware geprüft. HINWEIS: Ab Windows Vista Service Pack 1 und Windows Server 2008 wird zur Prüfung der Kommunikation eine neue- Filtermethode verwendet. Daher steht das Prüfen von Anwendungsprotokollen nicht zur Verfügung SSL Mit ESET File Security können Sie Protokolle prüfen, die im SSL-Protokoll gekapselt sind. Für durch SSL geschützte Kommunikation gibt es verschiedene Prüfmodi mit vertrauenswürdigen und unbekannten Zertifikaten sowie Zertifikaten, die von der Prüfung SSL-geschützter Kommunikation ausgeschlossen sind. SSL-Protokoll immer prüfen - Aktivieren Sie diese Option, um jegliche SSL-geschützte Kommunikation zu prüfen (außer wenn Zertifikate verwendet werden, die von der Prüfung ausgeschlossen sind). Wird eine Verbindung mit einem unbekannten, signierten Zertifikat erstellt, so wird sie ohne gesonderten Hinweis automatisch geprüft. Wenn Sie auf einen Server mit einem nicht vertrauenswürdigen Zertifikat, das Sie zur Liste der vertrauenswürdigen Zertifikate hinzugefügt und damit als vertrauenswürdig eingestuft haben, zugreifen, wird die Kommunikation zugelassen und der Inhalt des Kommunikationskanals geprüft. Nach nicht besuchten Websites fragen (es können Ausschlüsse festgelegt werden) - Wenn Sie auf eine durch SSL geschützte Website (mit einem unbekannten Zertifikat) zugreifen, wird eine Aktionsauswahl angezeigt. In diesem Modus können Sie eine Liste von SSL-Zertifikaten erstellen, die von der Prüfung ausgeschlossen sind. SSL-Protokoll nicht prüfen - Ist diese Option aktiviert, prüft das Programm keine Kommunikation via SSL. Wenn das Zertifikat nicht über den Speicher vertrauenswürdiger Stammzertifizierungsstellen geprüft werden kann ( Prüfen von Anwendungsprotokollen > SSL > Zertifikate): Gültigkeit des Zertifikats erfragen - Fordert den Benutzer auf, eine Aktion auszuwählen. Kommunikation blockieren, die das Zertifikat verwendet - Beendet die Verbindung zur Website, die das Zertifikat verwendet. Wird ein ungültiges oder beschädigtes Zertifikat verwendet (Prüfen von Anwendungsprotokollen > SSL > Zertifikate ): Gültigkeit des Zertifikats erfragen - Fordert den Benutzer auf, eine Aktion auszuwählen. Kommunikation blockieren, die das Zertifikat verwendet - Beendet die Verbindung zur Website, die das Zertifikat verwendet Vertrauenswürdige Zertifikate Neben dem integrierten Speicher vertrauenswürdiger Stammzertifizierungsstellen, in dem ESET File Security vertrauenswürdige Zertifikate speichert, können diese außerdem in einer benutzerdefinierten Liste abgelegt werden. Über Erweiterte Einstellungen (F5) > Prüfen von Anwendungsprotokollen > SSL > Zertifikate > Vertrauenswürdige Zertifikate können Sie sich diese Liste anzeigen lassen. 32

33 Ausgeschlossene Zertifikate Der Bereich Ausgeschlossene Zertifikate enthält Zertifikate, die als sicher gelten. Das Programm prüft den Inhalt verschlüsselter Verbindungen, die ein in dieser Liste enthaltenes Zertifikat verwenden, nicht auf Bedrohungen. Es wird empfohlen, nur garantiert sichere Webzertifikate auszuschließen, sodass die Verbindungen mithilfe dieser Zertifikate nicht geprüft werden müssen Einstellungen für ThreatSense ThreatSense ist eine Technologie, die verschiedene Methoden zur Erkennung von Bedrohungen verwendet. Die Technologie arbeitet proaktiv, d. h. sie schützt das System auch während der ersten Stunden eines neuen Angriffs. Eingesetzt wird eine Kombination verschiedener Methoden (Code-Analyse, Code-Emulation, allgemeine Signaturen, Virussignaturen), die zusammen die Systemsicherheit deutlich erhöhen. Die Prüfengine kann verschiedene Datenströme gleichzeitig kontrollieren und so die Effizienz und Erkennungsrate steigern. Die ThreatSense-Technologie entfernt auch erfolgreich Rootkits. In den Einstellungen für ThreatSense können Sie verschiedene Prüfparameter festlegen: Dateitypen und -erweiterungen, die geprüft werden sollen Die Kombination verschiedener Erkennungsmethoden Säuberungsstufen usw. Um das Fenster für die Einstellungen zu öffnen, klicken Sie auf die Schaltfläche Einstellungen, die im Fenster aller Module angezeigt wird, die ThreatSense verwenden (siehe unten). Je nach Anforderung sind eventuell verschiedene Sicherheitseinstellungen erforderlich. Dies sollte bei den individuellen ThreatSense-Einstellungen für die folgenden Schutzmodule berücksichtigt werden: Echtzeit-Dateischutz Prüfung Systemstartdateien -Schutz Web-Schutz On-Demand-Prüfung Die ThreatSense-Parameter sind für jedes Modul optimal eingerichtet, und eine Veränderung der Einstellungen kann den Systembetrieb deutlich beeinflussen. So kann zum Beispiel eine Änderung der Einstellungen für das Prüfen laufzeitkomprimierter Dateien oder die Aktivierung der Advanced Heuristik im Echtzeit-Dateischutz dazu führen, dass das System langsamer arbeitet (normalerweise werden mit diesen Methoden nur neu erstellte Dateien geprüft). Es wird daher empfohlen, die Standard-Parameter für ThreatSense in allen Modulen unverändert beizubehalten. Änderungen sollten nur im Modul On-Demand-Prüfung vorgenommen werden Einstellungen für Objekte Im Bereich Objekte können Sie festlegen, welche Dateien und Komponenten Ihres Computers auf Schadcode geprüft werden sollen. 33

34 Arbeitsspeicher - Prüfung auf Bedrohungen für den Arbeitsspeicher des Systems. Systembereiche (Boot, MBR) - Prüfung der Bootsektoren auf Viren im Master Boot Record. Dateien - Prüfung der gängigen Dateitypen (Programm-, Bild-, Audio-, Video-, Datenbankdateien usw.). -Dateien - Prüfung spezieller Dateien, die -Nachrichten enthalten. Archive - Prüfung von komprimierten Archivdateien (.rar,.zip,.arj,.tar usw.). Selbstentpackende Archive - Prüfung von Dateien in selbstentpackenden Archiven (üblicherweise mit der Erweiterung EXE). Laufzeitkomprimierte Dateien - Laufzeitkomprimierte Dateien werden (anders als Standard-Archivtypen) im Arbeitsspeicher dekomprimiert, zusätzlich zu statisch laufzeitkomprimierten Dateien (UPX, yoda, ASPack, FGS usw.) Methoden Im Bereich Optionen können Sie die Methoden festlegen, die während einer Prüfung des Systems auf eingedrungene Schadsoftware angewendet werden sollen. Die folgenden Optionen stehen zur Verfügung: Signaturdatenbank - Mithilfe von Signaturen können Bedrohungen zuverlässig anhand des Namens erkannt und identifiziert werden. Heuristik - Heuristische Methoden verwenden einen Algorithmus, der (bösartige) Aktivitäten von Programmen analysiert. Mit ihrer Hilfe können bis dato unbekannte Schadprogramme oder Viren, die nicht in der Liste bekannter Viren (Signaturdatenbank) aufgeführt waren, erkannt werden. Advanced Heuristik - Als Advanced-Heuristik werden besondere heuristische Verfahren bezeichnet, die von ESET entwickelt wurden, um Würmer und Trojaner zu erkennen, die in höheren Programmiersprachen geschrieben wurden. Die Erkennungsfähigkeiten des Programms werden durch die Advanced Heuristik erheblich verbessert. Adware/Spyware/Riskware - Diese Kategorie umfasst Software zum Ausspionieren von vertraulichen Benutzerinformationen. Außerdem zählt dazu Software zum Anzeigen von Werbebannern. Evtl. unerwünschte Anwendungen - Bei eventuell unerwünschten Anwendungen handelt es sich um Programme, die zwar nicht unbedingt Sicherheitsrisiken mit sich bringen, aber negative Auswirkungen auf Leistung und Verhalten Ihres Computers haben können. Als Benutzer werden Sie normalerweise vor deren Installation zur Bestätigung aufgefordert. Nach erfolgter Installation ändert sich das Systemverhalten (im Vergleich zum Stand vor der Installation). Dazu zählen vor allem ungewollte Popup-Fenster, die Aktivierung und Ausführung versteckter Prozesse, die erhöhte Inanspruchnahme von Systemressourcen, Änderungen in Suchergebnissen sowie die Kommunikation von Anwendungen mit Remote-Servern. Potenziell unsichere Anwendungen - Zur Kategorie der potenziell unsicheren Anwendungen zählen Programme, die zwar erwünscht sind, jedoch potenziell gefährliche Funktionen bereitstellen. Da hierzu auch Programme für das Fernsteuern von Computern gehören, ist diese Option standardmäßig deaktiviert. 34

35 Säubern Die Einstellungen zum Entfernen von Schadcode legen fest, wie beim Entfernen vorgegangen werden soll. Es gibt drei Arten der Schadcodeentfernung: Nicht säubern - Der in infizierten Objekten erkannte Schadcode wird nicht automatisch entfernt. Eine Warnung wird angezeigt, und Sie werden aufgefordert, eine Aktion auszuwählen. Normales Säubern - Das Programm versucht, den Schadcode automatisch aus der Datei zu entfernen oder eine infizierte Datei zu löschen. Wenn es nicht möglich ist, die angemessene Aktion automatisch zu bestimmen, wird der Benutzer aufgefordert, eine Aktion auszuwählen. Diese Auswahl wird dem Benutzer auch dann angezeigt, wenn eine vordefinierte Aktion nicht erfolgreich abgeschlossen werden konnte. Immer versuchen, automatisch zu säubern - Das Programm entfernt den Schadcode aus infizierten Dateien oder löscht diese Dateien (einschließlich Archive). Ausnahmen gelten nur für Systemdateien. Wenn es nicht möglich ist, den Schadcode zu entfernen, werden Sie in der angezeigten Warnung aufgefordert, eine Aktion auszuwählen. Warnung: Im Standardmodus Normales Säubern wird das gesamte Archiv nur gelöscht, wenn es ausschließlich infizierte Dateien enthält. Sind auch nicht infizierte Dateien vorhanden, wird die Archivdatei nicht gelöscht. Im Modus Immer versuchen, automatisch zu säubern wird die gesamte Archivdatei gelöscht, auch wenn sie nicht infizierte Dateien enthält. 35

36 Dateinamens-Erweiterungen Die Erweiterung ist der Teil des Dateinamens nach dem Punkt. Die Erweiterung definiert den Typ und den Inhalt der Datei. In diesem Abschnitt der ThreatSense-Einstellungen können Sie die Dateitypen festlegen, die geprüft werden sollen. In der Standardeinstellung werden alle Dateien unabhängig von ihrer Erweiterung geprüft. Jede Erweiterung kann der Liste auszuschließender Dateien hinzugefügt werden. Ist die Option Alle Dateien prüfen deaktiviert, zeigt die Liste alle aktuell geprüften Dateinamens-Erweiterungen an. Über die Schaltflächen Hinzufügen und Entfernen können Sie festlegen, welche Erweiterungen geprüft werden sollen. Um die Prüfung von Dateien ohne Erweiterung zuzulassen, aktivieren Sie die Option Dateien ohne Erweiterung prüfen. Der Ausschluss bestimmter Dateien ist dann sinnvoll, wenn die Prüfung bestimmter Dateitypen die Funktion eines Programms beeinträchtigt, das diese Erweiterungen verwendet. So sollten Sie z. B. die Erweiterungen EDB, EML und TMP ausschließen, wenn Sie Microsoft Exchange Server verwenden Grenzen Im Bereich Grenzen können Sie die Maximalgröße von Elementen und Stufen verschachtelter Archive festlegen, die geprüft werden sollen: Maximale Objektgröße: - Definiert die Maximalgröße der zu prüfenden Elemente. Der aktuelle Virenschutz prüft dann nur die Elemente, deren Größe unter der angegebenen Maximalgröße liegt. Der Standardwert sollte nicht geändert werden; für gewöhnlich besteht dazu auch kein Grund. Diese Option sollte nur von fortgeschrittenen Benutzern geändert werden, die bestimmte Gründe dafür haben, größere Objekte von der Prüfung auszuschließen. Maximale Prüfzeit pro Objekt (Sek.): - Definiert die maximale Dauer für die Prüfung eines Elements. Wenn hier ein benutzerdefinierter Wert eingegeben wurde, beendet der Virenschutz die Prüfung eines Elements, sobald diese Zeit abgelaufen ist, und zwar ungeachtet dessen, ob die Prüfung abgeschlossen ist oder nicht. Verschachtelungstiefe bei Archiven: - Gibt die maximale Suchtiefe bei Archiven an. Der Standardwert 10 sollte nicht geändert werden; unter normalen Umständen besteht dazu auch kein Grund. Wenn die Prüfung aufgrund der Anzahl verschachtelter Archive vorzeitig beendet wird, bleibt das Archiv ungeprüft. Maximalgröße von Dateien im Archiv: - Mithilfe dieser Option können Sie die maximale Dateigröße der in zu prüfenden Archiven enthaltenen Dateien (im extrahierten Zustand) angeben. Wenn durch Überschreiten dieses Werts die Prüfung vorzeitig beendet wird, bleibt das Archiv ungeprüft. 36

37 Sonstige Alternative Datenströme (ADS) prüfen - Bei den von NTFS-Dateisystemen verwendeten alternativen Datenströmen (ADS) handelt es sich um Datei- und Ordnerzuordnungen, die mit herkömmlichen Prüftechniken nicht erkannt werden können. Eingedrungene Schadsoftware tarnt sich häufig als alternativer Datenstrom, um nicht erkannt zu werden. Hintergrundprüfungen mit geringer Priorität ausführen - Jede Prüfung nimmt eine bestimmte Menge von Systemressourcen in Anspruch. Wenn Sie mit Anwendungen arbeiten, die die Systemressourcen stark beanspruchen, können Sie eine Hintergrundprüfung mit geringer Priorität aktivieren, um Ressourcen für die Anwendungen zu sparen. Alle Objekte in Log aufnehmen - Wenn Sie diese Option aktivieren, werden alle geprüften Dateien in das Log eingetragen, auch Dateien, bei denen keine Infektion erkannt wurde. Smart-Optimierung aktivieren - Wählen Sie diese Option, damit bereits geprüfte Dateien nicht erneut geprüft werden (sofern sie nicht geändert wurden). Nach einem Update der Signaturdatenbank werden die Dateien sofort wieder geprüft. Datum für Geändert am beibehalten - Aktivieren Sie diese Option, um den Zeitpunkt des ursprünglichen Zugriffs auf geprüfte Dateien beizubehalten (z. B. für die Verwendung mit Datensicherungssystemen), anstatt ihn zu aktualisieren. Bildlauf für Log - Mit dieser Option können Sie den Bildlauf für das Log aktivieren oder deaktivieren. Wenn der Bildlauf aktiviert ist, werden die Informationen im Anzeigefenster nach oben verschoben. Hinweis zum Abschluss der Prüfung in separatem Fenster anzeigen - Es wird ein separates Fenster mit den Informationen über die Prüfergebnisse angezeigt Eingedrungene Schadsoftware wurde erkannt Schadsoftware kann auf vielen Wegen in das System gelangen. Mögliche Eintrittsstellen sind Websites, freigegebene Ordner, s oder Wechselmedien (USB-Sticks, externe Festplatten, CDs, DVDs, Disketten usw.). Wenn Ihr Computer die Symptome einer Infektion mit Schadsoftware aufweist (Computer arbeitet langsamer als gewöhnlich, hängt sich oft auf usw.), sollten Sie folgendermaßen vorgehen: Öffnen Sie ESET File Security und klicken Sie auf Computer prüfen. Klicken Sie auf Standardprüfung (weitere Informationen finden Sie im Abschnitt Standardprüfung) Nachdem die Prüfung abgeschlossen ist, überprüfen Sie im Log die Anzahl der geprüften, infizierten und wiederhergestellten Dateien. Wenn Sie nur einen Teil Ihrer Festplatte prüfen möchten, wählen Sie Prüfen mit speziellen Einstellungen und anschließend die Bereiche, die auf Viren geprüft werden sollen. Das folgende allgemeine Beispiel soll veranschaulichen, wie in ESET File Security mit Schadsoftware umgegangen wird. Nehmen wir einmal an, der Echtzeit-Dateischutz verwendet die Standard-Säuberungsstufe und erkennt eingedrungene Schadsoftware. Daraufhin wird der Versuch gestartet, den Schadcode aus der Datei zu entfernen oder die Datei zu löschen. Ist für den Echtzeitschutz keine vordefinierte Aktion angegeben, müssen Sie in einem Warnungsfenster zwischen verschiedenen Optionen wählen. In der Regel stehen die Optionen Säubern, Löschen und Übergehen zur Auswahl. Es wird nicht empfohlen, die Option Übergehen zu wählen, da sonst die infizierten Dateien nicht behandelt werden. Einzige Ausnahme: Sie sind sich sicher, dass die Datei harmlos ist und versehentlich erkannt wurde. Schadcode entfernen und löschen - Wenden Sie Schadcode entfernen an, wenn eine Datei von einem Virus mit Schadcode infiziert wurde. In einem solchen Fall sollten Sie zuerst versuchen, den Schadcode aus der infizierten Datei zu entfernen und ihren Originalzustand wiederherzustellen. Wenn die Datei ausschließlich Schadcode enthält, wird sie gelöscht. 37

38 Wenn eine infizierte Datei gesperrt ist oder von einem Systemprozess verwendet wird, muss die Datei in der Regel erst freigegeben werden (häufig ist dazu ein Systemneustart erforderlich), bevor sie gelöscht werden kann. Dateien in Archiven löschen - Im Standardmodus der Aktion Säubern wird das gesamte Archiv nur gelöscht, wenn es ausschließlich infizierte Dateien enthält. Archive, die auch nicht infizierte Dateien enthalten, werden also nicht gelöscht. Die Option Immer versuchen, automatisch zu entfernen sollten Sie allerdings mit Bedacht einsetzen, da in diesem Modus alle Archive gelöscht werden, die mindestens eine infizierte Datei enthalten, und dies unabhängig vom Status der übrigen Archivdateien. 4.3 Aktualisieren des Programms Für maximalen Schutz ist die regelmäßige Aktualisierung von ESET File Security die Grundvoraussetzung. Die Updates halten das Programm fortlaufend auf dem neuesten Stand. Dies erfolgt durch Aktualisierung der Signaturdatenbank sowie die Aktualisierung der Programmkomponenten. Über den Punkt Update im Hauptmenü können Sie sich den aktuellen Update-Status anzeigen lassen. Sie sehen hier Datum und Uhrzeit des letzten Updates und können feststellen, ob ein Update erforderlich ist. Die Versionsnummer der Signaturdatenbank wird ebenfalls in diesem Fenster angezeigt. Diese Nummer ist ein aktiver Link zur Website von ESET, auf der alle Signaturen aufgeführt werden, die bei dem entsprechenden Update hinzugefügt wurden. Außerdem finden Sie in diesem Fenster die Option Update der Signaturdatenbank, mit der der Update-Vorgang manuell gestartet werden kann, und grundlegende Update-Einstellungen wie die Lizenzdaten (Benutzername und Passwort), die den Zugriff auf die Update-Server von ESET erlauben. Klicken Sie auf Produktaktivierung, um ein Registrierungsformular zu öffnen, mit dem Sie Ihr ESET Security-Produkt aktivieren können. Sie erhalten eine mit den Lizenzdaten (Benutzername und Passwort). 38

39 HINWEIS: Ihren Benutzernamen und das Passwort erhalten Sie von ESET nach dem Kauf von ESET File Security. 39

40 4.3.1 Einstellungen für Updates In den Einstellungen für Updates finden Sie Informationen zum Abruf von Updates, z. B. die Liste der Update-Server und die Lizenzdaten für diese Server. Standardmäßig ist die Option Update-Server auf Automatisch auswählen eingestellt. So werden Updates automatisch von dem ESET-Server heruntergeladen, der am wenigsten belastet ist. Die Einstellungen für Updates finden Sie unter Update in den erweiterten Einstellungen (Taste F5). Die Liste Update-Server zeigt eine Aufstellung der aktuellen Update-Server. Um einen neuen Update-Server hinzuzufügen, klicken Sie im Bereich Update-Einstellungen für ausgewähltes Profil auf Bearbeiten. Klicken Sie anschließend auf Hinzufügen. Zur Anmeldung beim Update-Server verwenden Sie den Benutzernamen und das Passwort, die beim Kauf erzeugt und Ihnen zugestellt wurden. 40

41 Update-Profile Update-Profile können für verschiedene Update-Konfigurationen und -Tasks erstellt werden. Besonders sinnvoll ist das Erstellen von Update-Profilen für mobile Benutzer, die auf regelmäßige Änderungen bei der Internetverbindung mit entsprechenden Profilen reagieren können. Die Liste Ausgewähltes Profil zeigt das aktuelle Profil an; standardmäßig ist dies Mein Profil. Zum Erstellen eines neuen Profils klicken Sie auf Profile und dann auf Hinzufügen. Geben Sie anschließend den Namen des Profils ein. Wenn Sie ein neues Profil erstellen, können Sie die Einstellungen eines bereits bestehenden Profils kopieren, indem Sie die Option Einstellungen kopieren von Profil aus der Liste wählen. Im Fenster mit den Profileinstellungen können Sie den Update-Server in einer Liste verfügbarer Server angeben oder einen neuen Server hinzufügen. Die Liste Update-Server: zeigt die vorhandenen Update-Server. Um einen neuen Update-Server hinzuzufügen, klicken Sie im Bereich Update-Einstellungen für ausgewähltes Profil auf Bearbeiten. Klicken Sie anschließend auf Hinzufügen Erweiterte Einstellungen für Updates Klicken Sie zum Anzeigen der erweiterten Einstellungen auf Einstellungen. Zu den erweiterten Einstellungen für Updates zählen Konfigurationsoptionen für Update-Modus, HTTP-Proxy, LAN und Update-Mirror Update-Modus Auf der Registerkarte Update-Modus finden Sie Optionen zum Aktualisieren der Programmkomponenten. Im Abschnitt Updates für Programmkomponenten stehen drei Optionen zur Verfügung: Programmkomponenten nicht aktualisieren: Neue Updates für Programmkomponenten werden nicht heruntergeladen. Programmkomponenten automatisch aktualisieren, wenn neue Versionen verfügbar sind: Neue Updates für Programmkomponenten werden automatisch heruntergeladen. Benutzer fragen: Dies ist die Standardeinstellung. Stehen Updates für Programmkomponenten zur Verfügung, werden Sie aufgefordert, sie zu bestätigen oder abzulehnen. 41

42 Nach der Installation eines Updates für Programmkomponenten kann ein Neustart Ihres Computers erforderlich werden, um die Funktionalität aller Module zu gewährleisten. Im Bereich Computerneustart, falls nach Upgrade erforderlich kann der Benutzer eine der folgenden drei Optionen auswählen: Niemals ausführen Benutzer fragen Automatisch OHNE Benutzerbestätigung (Vorsicht auf Servern) Benutzer fragen ist die Standardoption. Die Auswahl der geeigneten Option hängt vom jeweiligen Computer ab, auf dem die Einstellungen ausgeführt werden. Beachten Sie die unterschiedliche Funktion von Arbeitsplatzcomputern und Servern - das automatische Neustarten eines Servers nach einem Update kann schwerwiegende Folgen haben. 42

43 Proxyserver ESET File Security bietet Optionen für die Proxyserver-Einstellungen in zwei verschiedenen Bereichen der erweiterten Einstellungen. Die Einstellungen für den Proxyserver können zum einen unter Allgemein > Proxyserver konfiguriert werden. Hiermit legen Sie die allgemeinen Proxyserver-Einstellungen für alle Funktionen von ESET File Security fest. Diese Parameter werden von allen Modulen verwendet, die eine Verbindung zum Internet benötigen. Um die Proxyserver-Einstellungen für diese Ebene festzulegen, aktivieren Sie das Kontrollkästchen Proxyserver verwenden und geben im Feld Proxyserver die entsprechende Adresse zusammen mit dem Port des Proxyservers ein. Wenn der Proxyserver eine Authentifizierung benötigt, aktivieren Sie das Kontrollkästchen Proxysever erfordert Authentifizierung und geben einen gültigen Benutzernamen sowie das entsprechende Passwort ein. Klicken Sie auf die Schaltfläche Proxyserver automatisch erkennen, wenn die Einstellungen des Proxyservers automatisch erkannt und eingetragen werden sollen. Die in Internet Explorer festgelegten Einstellungen werden kopiert. HINWEIS: Diese Funktion ruft keine Anmeldedaten (Benutzername und Passwort) ab; Sie müssen diese Informationen eingeben. Die Proxyserver-Einstellungen können auch in den erweiterten Einstellungen für Updates festgelegt werden. Die Einstellungen gelten dann für das entsprechende Update-Profil. Zu den Proxyserver-Einstellungen gelangen Sie über die Registerkarte HTTP-Proxy unter Erweiterte Einstellungen für Updates. Dort können Sie eine von drei verschiedenen Optionen wählen: In Systemsteuerung eingestellten Proxy verwenden Keinen Proxyserver verwenden Verbindung über Proxyserver (Verbindung wird durch Verbindungseigenschaften definiert) Mit dem Aktivieren der Option In Systemsteuerung eingestellten Proxy verwenden wird die unter Erweiterte Einstellungen (Allgemein > Proxyserver) bereits festgelegte Proxyserver-Konfiguration übernommen (siehe weiter oben in diesem Artikel). 43

44 Mit der Option Keinen Proxyserver verwenden legen Sie fest, dass kein Proxyserver für Updates von ESET File Security genutzt wird. Aktivieren Sie die Option Verbindung über Proxyserver, wenn Sie Updates von ESET File Security über einen anderen als den in den allgemeinen Einstellungen (Allgemein > Proxyserver) festgelegten Proxyserver herunterladen möchten. In diesem Fall sind an dieser Stelle Einstellungen erforderlich: Proxyserver-Adresse, Port sowie Benutzername und Passwort, falls erforderlich. Diese Option sollte auch verwendet werden, wenn in den allgemeinen Einstellungen kein Proxyserver festgelegt wurde, aber das Update-Modul von ESET File Security die Verbindung über einen Proxyserver aufbaut. Die Standardeinstellung für den Proxyserver ist In Systemsteuerung eingestellten Proxy verwenden. 44

45 Herstellen einer LAN-Verbindung Beim Aktualisieren von einem lokalen Server mit einem Betriebssystem auf Windows NT-Basis ist standardmäßig eine Authentifizierung für jede Netzwerkverbindung erforderlich. In den meisten Fällen besitzt ein lokales Systemkonto keine ausreichenden Berechtigungen für den Zugriff auf den Mirror-Ordner (der Kopien der Update-Dateien enthält). Geben Sie in diesem Fall den Benutzernamen und das Passwort in den Update-Einstellungen ein, oder geben Sie ein Konto an, über das das Programm auf den Update-Mirror zugreifen kann. Zum Konfigurieren eines solchen Kontos klicken Sie auf die Registerkarte LAN. Der Bereich Verbindung mit dem LAN herstellen als enthält die Optionen Systemkonto (Standard), Aktueller Benutzer und Folgender Benutzer. Wählen Sie Systemkonto (Standard), um das Systemkonto für die Authentifizierung zu verwenden. Normalerweise findet keine Authentifizierung statt, wenn in den Haupteinstellungen für Updates keine Anmeldedaten angegeben sind. Wenn sich das Programm mit dem Konto des aktuell angemeldeten Benutzers anmelden soll, wählen Sie Aktueller Benutzer. Nachteil dieser Lösung ist, dass das Programm keine Verbindung zum Update-Server herstellen kann, wenn kein Benutzer angemeldet ist. Wählen Sie Folgender Benutzer, wenn das Programm ein spezielles Benutzerkonto für die Authentifizierung verwenden soll. Warnung: Wenn entweder Aktueller Benutzer oder Folgender Benutzer aktiviert ist, kann ein Fehler beim Wechsel der Identität zum gewünschten Benutzer auftreten. Aus diesem Grund wird empfohlen, die LAN-Anmeldedaten in den Haupteinstellungen für Updates einzugeben. In diesen Update-Einstellungen geben Sie die Anmeldedaten wie folgt ein: Domänenname\Benutzer (bei einer Arbeitsgruppe geben Sie Arbeitsgruppenname\Name ein) und das Passwort. Bei Aktualisierung von der HTTP-Version des lokalen Servers ist keine Authentifizierung erforderlich. 45

46 Erstellen von Kopien der Update-Dateien - Update-Mirror ESET File Security bietet Ihnen die Möglichkeit, Kopien der Update-Dateien zu erstellen. Diese können Sie dann zur Aktualisierung anderer Arbeitsplatzrechner im Netzwerk verwenden. Das Aktualisieren der Client-Computer von einem Update-Mirror optimiert die Lastenverteilung im Netzwerk und entlastet Internetverbindungen. Die Konfigurationsoptionen für einen Update-Mirror auf einem lokalen Server befinden sich im Bereich Erweiterte Einstellungen für Updates (um diesen zu erreichen, müssen Sie einen gültigen Lizenzschlüssel im Lizenzmanager hinzufügen; dieser ist in den erweiterten Einstellungen von ESET File Security zu finden). Drücken Sie F5, um auf die erweiterten Einstellungen zuzugreifen, und klicken Sie auf Update. Dort klicken Sie auf die Schaltfläche Einstellungen neben Erweiterte Einstellungen für Updates und wählen die Registerkarte Update-Mirror. Zur Konfiguration des Update-Mirrors aktivieren Sie als Erstes die Option Update-Mirror aktivieren. Durch Aktivieren dieser Option stehen weitere Konfigurationsoptionen für Update-Mirrors zur Verfügung, die beispielsweise die Art des Zugriffs auf Update-Dateien und den Pfad zu den Kopien der Update-Dateien betreffen. Die Vorgehensweisen zur Aktivierung des Update-Mirror werden im Abschnitt Aktualisieren über Update-Mirror ausführlich beschrieben. In diesem Abschnitt reicht es zu wissen, dass es zwei Grundvarianten des Zugriffs auf einen Update-Mirror gibt: Der Ordner mit den Update-Dateien kann eine Netzwerkfreigabe sein, oder es wird ein HTTP- Server als Update-Mirror verwendet. Der für die Update-Dateien vorgesehene Ordner wird im Bereich Ordner zum Speichern der Update-Dateien festgelegt. Klicken Sie auf Ordner, um den gewünschten Ordner auf dem lokalen Computer oder eine Netzwerkfreigabe auszuwählen. Wenn für den angegebenen Ordner eine Authentifizierung erforderlich ist, müssen die Anmeldedaten in die Felder Benutzername und Passwort eingetragen werden. Der Benutzername muss im Format Domäne/Benutzer oder Arbeitsgruppe/Benutzer eingegeben werden. Denken Sie daran, auch die entsprechenden Passwörter einzugeben. Bei der Konfiguration des Update-Mirrors kann auch die Sprachversion der herunterzuladenden Update-Kopien festgelegt werden. Zum Auswählen der Sprache wählen Sie Dateien - Verfügbare Versionen. 46

47 Aktualisieren über Update-Mirror Es gibt zwei Grundvarianten der Konfiguration eines Update-Mirrors: Der Ordner mit den Update-Dateien kann eine Netzwerkfreigabe sein, oder es wird ein HTTP-Server als Update-Mirror verwendet. Zugriff auf den Update-Mirror über internen HTTP-Server Diese Variante wird automatisch verwendet, da es sich um die Standardeinstellung des Programms handelt. Um einen Zugriff auf den Update-Mirror über den HTTP-Server zu ermöglichen, wechseln Sie zu Erweiterte Einstellungen für Updates (Registerkarte Update-Mirror) und wählen Sie Update-Mirror aktivieren. Im Bereich Erweiterte Einstellungen der Registerkarte Update-Mirror können Sie den Server-Port angeben, auf dem der HTTP-Server Anfragen empfängt, und den Typ der Authentifizierung festlegen, die vom HTTP-Server verwendet wird. Standardmäßig ist der Port 2221 eingestellt. Unter Authentifizierung wird die Authentifizierungsmethode für den Zugriff auf die Update-Dateien festgelegt. Die folgenden Optionen stehen zur Verfügung: KEINE, Basis und NTLM. Wählen Sie Basis für Base64-Verschlüsselung und einfache Authentifizierung mit Benutzername und Passwort. Bei Auswahl von NTLM wird eine sichere Verschlüsselungsmethode verwendet. Zur Authentifizierung wird der auf dem Computer erstellte Benutzer verwendet, der die Update-Dateien freigegeben hat. Die Standardeinstellung ist KEINE, so dass für den Zugriff auf die Update-Dateien keine Authentifizierung erforderlich ist. Warnung: Wenn Sie den Zugriff auf die Update-Dateien über einen HTTP-Server zulassen möchten, muss sich der Ordner mit den Kopien der Update-Dateien auf demselben Computer befinden wie die Instanz von ESET File Security, mit der dieser Ordner erstellt wird. Nach Abschluss der Konfiguration des Update-Mirrors geben Sie auf den einzelnen Computern jeweils Adresse_Ihres_Servers:2221 als Update-Server ein. Gehen Sie dazu wie folgt vor: Öffnen Sie in ESET File Security das Fenster Erweiterte Einstellungen und klicken Sie auf Update zum Öffnen dieses Bereiches. Klicken Sie auf Bearbeiten... rechts neben Update-Server und fügen Sie einen neuen Server in folgendem Format hinzu: Wählen Sie den hinzugefügten Server aus der Liste der Update-Server aus. Zugriff auf den Update-Mirror über Systemfreigaben Zunächst muss ein freigegebener Ordner auf einem lokalen Laufwerk oder Netzlaufwerk erstellt werden. Beim Erstellen des Ordners für den Update-Mirror ist Folgendes zu beachten: Der Benutzer, der Dateien im Ordner speichert, benötigt Schreibzugriff, während die Benutzer, die ESET File Security über diesen Ordner aktualisieren, eine Leseberechtigung benötigen. Im nächsten Schritt konfigurieren Sie den Zugriff auf den Update-Mirror, indem Sie im Bereich Erweiterte Einstellungen für Updates (Registerkarte Update-Mirror) die Option Dateien bereitstellen über integrierten HTTP- Server deaktivieren. Diese Option ist in der Standardeinstellung des Programms aktiviert. Wenn der freigegebene Ordner sich auf einem anderen Computer im Netzwerk befindet, ist für den Zugriff auf den anderen Computer eine Authentifizierung erforderlich. Um die Anmeldedaten anzugeben, öffnen Sie (mit F5) die erweiterten Einstellungen von ESET File Security und klicken Sie auf den Bereich Update. Klicken Sie erst auf die Schaltfläche Einstellungen und öffnen Sie dann die Registerkarte LAN. Diese Einstellung entspricht der Einstellung für 47

48 Updates, wie im Kapitel Herstellen einer LAN-Verbindung beschrieben. Nach Abschluss der Konfiguration des Update-Mirrors geben Sie auf den einzelnen Computern jeweils \\UNC\PFAD als Update-Server ein. Mit den folgenden Schritten schließen Sie diesen Vorgang ab: Öffnen Sie die erweiterten Einstellungen von ESET File Security und klicken Sie auf Update. Klicken Sie auf Bearbeiten... neben der Liste Update-Server und geben Sie den neuen Server in folgendem Format ein: \\UNC\PFAD. Wählen Sie den hinzugefügten Server aus der Liste der Update-Server aus. HINWEIS: Um eine fehlerfreie Funktion zu gewährleisten, muss der Pfad zum Ordner mit den Kopien der Update- Dateien als UNC-Pfad angegeben werden. Updates über zugeordnete Netzlaufwerke können möglicherweise nicht ausgeführt werden Fehlerbehebung bei Problemen mit Updates über Update-Mirror Die meisten Probleme bei Updates von einem Update-Mirror haben eine oder mehrere der folgenden Ursachen: falsche Einstellungen für den Mirror-Ordner, falsche Anmeldedaten für den Mirror-Ordner, falsche Konfiguration auf lokalen Computern, die versuchen, Update-Dateien vom Update-Mirror herunterzuladen, oder eine Kombination der angegebenen Gründe. Hier erhalten Sie einen Überblick über die am häufigsten auftretenden Probleme bei Updates von einem Update-Mirror: ESET File Security meldet einen Fehler bei der Verbindung mit dem Mirror-Server - Wahrscheinlich wird dieser Fehler durch falsche Angaben zum Update-Server (Netzwerkpfad zum Mirror-Ordner) verursacht, von dem die lokalen Computer Updates herunterladen. Um den Ordner zu überprüfen, klicken Sie auf das Windows-Menü Start > Ausführen, geben den Ordnernamen ein und klicken auf OK. Daraufhin sollte der Inhalt des Ordners angezeigt werden. ESET File Security verlangt einen Benutzernamen und Passwort - Es wurden wahrscheinlich falsche Anmeldedaten (Benutzername und Passwort) im Bereich Update angegeben. Benutzername und Passwort werden für den Zugriff auf den Update-Server verwendet, über den das Programm aktualisiert wird. Vergewissern Sie sich, dass die Anmeldedaten korrekt und im richtigen Format eingegeben sind. Verwenden Sie das Format Domäne/Benutzername bzw. Arbeitsgruppe/Benutzername und die entsprechenden Passwörter. Auch wenn der Zugriff auf den Mirror-Server für die Gruppe Jeder gestattet wurde, sollten Sie bedenken, dass deshalb nicht jedem beliebigen Benutzer der Zugriff gewährt wird. Jeder umfasst keine nicht autorisierten Benutzer, sondern bedeutet, dass alle Benutzer der Domäne auf den Ordner zugreifen können. Daher müssen, auch wenn die Gruppe Jeder auf den Ordner zugreifen kann, in den Update-Einstellungen ein Domänen-Benutzername und -Passwort eingegeben werden. ESET File Security meldet einen Fehler bei der Verbindung mit dem Mirror-Server - Der für den Zugriff auf die HTTP- Version des Update-Mirrors angegebene Port ist blockiert So erstellen Sie Update-Tasks Mit der Option Signaturdatenbank aktualisieren können Updates manuell ausgeführt werden. Klicken Sie dazu im Hauptmenü auf Update, und wählen Sie im daraufhin angezeigten Dialogfenster die entsprechende Option aus. Darüber hinaus können Sie Updates auch als geplante Tasks einrichten. Um einen Task zu konfigurieren, klicken Sie auf Tools > Taskplaner. Standardmäßig sind in ESET File Security folgende Tasks aktiviert: Automatische Updates in festen Zeitabständen Automatische Updates beim Herstellen von DFÜ-Verbindungen Automatische Updates beim Anmelden des Benutzers Jeder Update-Task kann bei Bedarf angepasst werden. Neben den standardmäßig ausgeführten Update-Tasks können zusätzliche Update-Tasks mit benutzerdefinierten Einstellungen erstellt werden. Weitere Informationen zum Erstellen und Konfigurieren von Update-Tasks finden Sie im Abschnitt Taskplaner. 48

49 4.4 Taskplaner Der Taskplaner steht zur Verfügung, wenn Sie die Einstellungen von ESET File Security im erweiterten Modus anzeigen. Um ihn zu öffnen, klicken Sie im Hauptmenü von ESET File Security unter Tools auf Taskplaner. Der Taskplaner umfasst eine Liste aller geplanten Tasks sowie deren Konfigurationseigenschaften, inklusive des vordefinierten Datums, der Uhrzeit und des verwendeten Prüfprofils. Standardmäßig werden im Taskplaner die folgenden Tasks angezeigt: Automatische Updates in festen Zeitabständen Automatische Updates beim Herstellen von DFÜ-Verbindungen Automatische Updates beim Anmelden des Benutzers Prüfung Systemstartdateien (nach Anmeldung des Benutzers) Prüfung Systemstartdateien (nach Update der Signaturdatenbank) Um die Konfiguration eines vorhandenen Standardtasks oder eines benutzerdefinierten Tasks zu ändern, klicken Sie mit der rechten Maustaste auf den Task und dann auf Bearbeiten, oder wählen Sie den Task aus, den Sie ändern möchten, und klicken Sie auf Bearbeiten Verwendung von Tasks Der Taskplaner verwaltet und startet Tasks mit vordefinierter Konfiguration und voreingestellten Eigenschaften. Konfiguration und Eigenschaften enthalten Informationen wie Datum und Uhrzeit und bestimmte Profile, die bei Ausführung des Tasks verwendet werden. 49

50 4.4.2 Erstellen von Tasks Zum Erstellen eines Tasks im Taskplaner klicken Sie auf Hinzufügen oder klicken mit der rechten Maustaste und wählen dann im Kontextmenü die Option Hinzufügen. Es gibt fünf Arten von Tasks: Start externer Anwendung Prüfung Systemstartdateien Snapshot des Computerstatus erstellen On-Demand-Prüfung Update Da Update-Tasks zu den meistverwendeten Tasks gehören, wird im Folgenden das Hinzufügen eines neuen Update- Tasks beschrieben. Wählen Sie Update aus der Liste der Tasks. Klicken Sie auf Weiter und geben Sie den Namen des Tasks in das Feld Taskname ein. Wählen Sie das gewünschte Ausführungsintervall. Die folgenden Optionen stehen zur Verfügung: Einmalig, Wiederholt, Täglich, Wöchentlich und Bei Ereignis. Je nach ausgewähltem Intervall werden Ihnen verschiedene Update-Parameter angezeigt. Im nächsten Schritt können Sie eine Aktion festlegen für den Fall, dass der Task zur geplanten Zeit nicht ausgeführt oder abgeschlossen werden kann. Folgende Optionen stehen zur Verfügung: Nächste Ausführung genau nach Planung Ausführung zum nächstmöglichen Zeitpunkt Sofort ausführen, wenn Intervall seit letzter Ausführung überschritten (das Intervall kann über das Taskintervall- Feld festgelegt werden) Anschließend wird ein Fenster mit einer vollständigen Zusammenfassung des aktuellen Tasks angezeigt. Die Option Task mit speziellen Einstellungen ausführen sollte automatisch aktiviert sein. Klicken Sie auf Fertig stellen. Es wird ein Dialogfenster angezeigt, in dem Sie Profile für den Task auswählen können. Hier können Sie ein primäres und ein alternatives Profil festlegen. Letzteres wird verwendet, falls der Task unter Verwendung des primären Profils nicht abgeschlossen werden kann. Bestätigen Sie die Angaben, indem Sie im Fenster Update-Profile auf OK klicken. Der neue geplante Task wird der Liste der aktuellen Tasks hinzugefügt. 50

51 4.5 Quarantäne Die Hauptaufgabe der Quarantäne ist die sichere Speicherung infizierter Dateien. Dateien sollten in die Quarantäne verschoben werden, wenn sie nicht gesäubert werden können, wenn es nicht sicher oder ratsam ist, sie zu löschen, oder wenn sie von ESET File Security fälschlicherweise erkannt worden sind. Sie können beliebige Dateien gezielt in die Quarantäne verschieben. Geschehen sollte dies bei Dateien, die sich verdächtig verhalten, bei der Virenprüfung jedoch nicht erkannt werden. Dateien aus der Quarantäne können zur Analyse an ESET eingereicht werden. Die Dateien im Quarantäneordner können in einer Tabelle angezeigt werden, die Datum und Uhrzeit der Quarantäne, den Pfad zum ursprünglichen Speicherort der infizierten Datei, ihre Größe in Byte, einen Grund (z. B. Objekt hinzugefügt durch Benutzer) und die Anzahl der Bedrohungen (z. B. bei Archiven, in denen an mehreren Stellen Schadcode erkannt wurde) enthält Quarantäne für Dateien ESET File Security kopiert gelöschte Dateien automatisch in den Quarantäneordner (sofern diese Option nicht im Warnfenster deaktiviert wurde). Auf Wunsch können Sie beliebige verdächtige Dateien manuell in die Quarantäne verschieben, indem Sie auf Quarantäne klicken. In diesem Fall wird die Originaldatei nicht von ihrem ursprünglichen Speicherort entfernt. Alternativ kann auch das Kontextmenü zu diesem Zweck verwendet werden: Klicken Sie mit der rechten Maustaste in das Fenster Quarantäne, und wählen Sie Hinzufügen. 51

52 4.5.2 Wiederherstellen aus Quarantäne Dateien aus der Quarantäne können an ihrem ursprünglichen Speicherort wiederhergestellt werden. Verwenden Sie dazu die Funktion Wiederherstellen, die Sie nach einem Rechtsklick auf die entsprechende Datei im Fenster Quarantäne im Kontextmenü auswählen können. Das Kontextmenü enthält außerdem die Option Wiederherstellen nach, mit der Dateien an einem anderen als ihrem ursprünglichen Speicherort wiederhergestellt werden können. HINWEIS: Wenn versehentlich eine harmlose Datei in Quarantäne versetzt wurde, schließen Sie die Datei nach der Wiederherstellung von der Prüfung aus und senden Sie sie an den ESET-Support Einreichen von Dateien aus der Quarantäne Wenn Sie eine verdächtige, nicht vom Programm erkannte Datei in Quarantäne versetzt haben oder wenn eine Datei fälschlich als infiziert eingestuft wurde (etwa durch die heuristische Analyse des Codes) und infolgedessen in den Quarantäneordner verschoben wurde, senden Sie die Datei zur Analyse an ESET. Um eine Datei zu senden, die in der Quarantäne gespeichert ist, klicken Sie mit der rechten Maustaste darauf und wählen im angezeigten Kontextmenü die Option Datei zur Analyse einreichen. 52

53 4.6 Log-Dateien Die Log-Dateien enthalten Informationen zu allen wichtigen aufgetretenen Programmereignissen und geben einen Überblick über erkannte Bedrohungen. Das Erstellen von Logs ist unabdingbar für die Systemanalyse, die Erkennung von Problemen oder Risiken sowie die Fehlerbehebung. Die Logs werden im Hintergrund ohne Eingriffe des Benutzers erstellt. Welche Informationen aufgezeichnet werden, ist abhängig von den aktuellen Einstellungen für die Mindestinformation in Logs. Log-Dateien und deren Inhalt können Sie sich direkt über ESET File Security anzeigen lassen. Log-Dateien können über das Hauptmenü aufgerufen werden, indem Sie auf Tools > Log-Dateien klicken. Wählen Sie den gewünschten Log-Typ über das Dropdown-Menü Log oben im Fenster aus. Folgende Logs sind verfügbar: Erkannte Bedrohungen - Über diese Option können Sie sämtliche Informationen über Ereignisse bezüglich der Erkennung eingedrungener Schadsoftware anzeigen. Ereignisse - Diese Option kann von Systemadministratoren und Benutzern zur Lösung von Problemen verwendet werden. Alle von ESET File Security ausgeführten wichtigen Aktionen werden in den Ereignis-Logs aufgezeichnet. On-Demand-Prüfung - In diesem Fenster werden die Ergebnisse aller durchgeführten Prüfungen angezeigt. Durch Doppelklicken auf einen Eintrag können Sie Einzelheiten zu der entsprechenden On-Demand-Prüfung anzeigen. In jedem Abschnitt können die angezeigten Informationen direkt in die Zwischenablage kopiert werden. Dazu wählen Sie die gewünschten Einträge aus und klicken auf Kopieren. Zur Auswahl mehrerer Einträge verwenden Sie die Strgund die Umschalttaste. 53

54 4.6.1 Log-Filter Mit dem Log-Filter können Sie Log-Dateien durchsuchen; dies ist besonders praktisch, wenn die Anzahl der Einträge unüberschaubar groß und damit die Suche nach bestimmten Informationen schwierig ist. Wenn Sie die Log-Filter-Funktion verwenden, können Sie die Suche eingrenzen, indem Sie im Textfeld Nach das Gesuchte eintragen, die Suchstellen unter Zu durchsuchende Spalten festlegen sowie Eintragstypen und einen Zeitraum für die gesuchten Einträge angeben. Die Angabe von bestimmten Suchkriterien hat zur Folge, dass nur Einträge, die diesen Kriterien entsprechen, im Hauptfenster Log-Dateien angezeigt werden, von wo der Benutzer schnell und unkompliziert auf sie zugreifen kann. Um den Log-Filter zu öffnen, klicken Sie auf die Schaltfläche Filter in Tools > Log-Dateien oder verwenden Sie die Tastenkombination Strg + Umschalttaste + F. HINWEIS: Für die Suche nach einem bestimmten Eintrag können Sie ebenfalls die Funktion In Log suchen nutzen; ebenso lässt diese sich auch mit dem Log-Filter kombinieren. Die Angabe bestimmter Filteroptionen hat zur Folge, dass nur Einträge, die diesen Angaben entsprechen, im Log- Dateien-Hauptfenster angezeigt werden. Auf diese Weise werden die Einträge gefiltert bzw. eingegrenzt und Sie finden leichter, was Sie suchen. Je präziser Sie die Filteroptionen definieren, desto geringer wird die Anzahl der gefundenen Einträge. Nach: - Geben Sie eine Zeichenfolge ein (ein Wort oder einen Teil eines Wortes). Es werden nur Einträge angezeigt, die diese Zeichenfolge enthalten. Alle anderen Einträge werden zugunsten besserer Erkennbarkeit nicht angezeigt. Zu durchsuchende Spalten: - Wählen Sie die Spalten, die der Filter berücksichtigen soll. Sie können mehr als eine Spalte für das Filtern markieren. Standardmäßig sind alle Spalten markiert: Zeit Modul Ereignis Benutzer Eintragstypen: - Ermöglicht es Ihnen, die Art der anzuzeigenden Einträge anzugeben. Sie können einen bestimmten Eintragstyp, mehrere gleichzeitig oder alle Eintragstypen anzeigen lassen (letztere ist die Standardeinstellung). Diagnose Informationen Warnung Fehler Kritisch 54

55 Zeitraum: - Verwenden Sie diese Option, wenn Sie Einträge nach dem Zeitraum ihrer Protokollierung filtern möchten. Folgende Möglichkeiten stehen zur Auswahl: Gesamtes Log (Standardeinstellung) - Filtert nicht nach Zeitraum, sondern zeigt das gesamte Log an Gestern Letzte Woche Letzter Monat Intervall - Wählen Sie diese Option, um die Einträge, die während eines bestimmten Zeitraums (Datum und Uhrzeit) protokolliert wurden, anzuzeigen. Neben den oben genannten Einstellungen haben Sie noch folgende Optionen: Nur ganze Wörter - Zeigt nur Einträge an, in denen eine im Nach-Textfeld eingegebene Zeichenfolge als vollständiges Wort aufgefunden wird. Groß-/Kleinschreibung beachten - Zeigt nur Einträge, in denen eine im Nach-Textfeld eingegebene Zeichenfolge mit gleicher Groß- und Kleinschreibung aufgefunden wird. Smart-Filter aktivieren - Verwenden Sie diese Option, um ESET File Security mit eigenen Methoden filtern zu lassen. Wenn Sie die Filteroptionen nach Ihren Wünschen konfiguriert haben, klicken Sie auf OK, um den Filter anzuwenden. Das Hauptfenster Log-Dateien zeigt dann nur Einträge an, die den Filterkriterien entsprechen In Log suchen Neben dem Log-Filter gibt es noch die Suchfunktion in Log-Dateien, die aber auch unabhängig vom Log-Filter verwendet werden kann. Diese Funktion ist sinnvoll, wenn Sie nach bestimmten Log-Einträgen suchen. Wie der Log- Filter hilft auch sie Ihnen beim Auffinden von Informationen, besonders bei einer unüberschaubaren Anzahl von Einträgen. Wenn Sie die Funktion In Log suchen verwenden, können Sie im Textfeld Nach das Gesuchte eintragen, die Suchstellen unter Zu durchsuchende Spalten eingrenzen sowie Eintragstypen und einen Zeitraum für die gesuchten Einträge angeben. Die Angabe bestimmter Suchoptionen hat zur Folge, dass nur Einträge, die diesen Angaben entsprechen, im Log-Dateien-Hauptfenster durchsucht werden. Um in Log-Dateien zu suchen, öffnen Sie das Dialogfenster In Log suchen mit der Tastenkombination Strg + f. HINWEIS: Die Funktion In Log suchen können Sie auch in Verbindung mit dem Log-Filter nutzen. Begrenzen Sie mithilfe des Log-Filters die Anzahl der Einträge, bevor Sie die Suche innerhalb der herausgefilterten Einträge starten. Nach: - Geben Sie eine Zeichenfolge ein (ein Wort oder einen Teil eines Wortes). Es werden nur Einträge angezeigt, die diese Zeichenfolge enthalten. Alle anderen Einträge werden nicht angezeigt. 55

56 Zu durchsuchende Spalten: - Wählen Sie die Spalten, die bei der Suche berücksichtigt werden sollen. Sie können mehr als eine Spalte für die Suche markieren. Standardmäßig sind alle Spalten markiert: Zeit Modul Ereignis Benutzer Eintragstypen: - Ermöglicht es Ihnen, die Art der zu suchenden Einträge anzugeben. Sie können nach einem bestimmten, mehreren oder allen Eintragstypen suchen (letztere ist die Standardeinstellung). Diagnose Informationen Warnung Fehler Kritisch Zeitraum: - Verwenden Sie diese Option, wenn Sie Einträge aus einem bestimmten Zeitraum suchen möchten. Folgende Möglichkeiten stehen zur Auswahl: Gesamtes Log (Standardeinstellung) - Begrenzt die Suche nicht auf einen Zeitraum, sondern durchsucht das gesamte Log Gestern Letzte Woche Letzter Monat Intervall - Wählen Sie diese Option, um die Einträge, die während eines bestimmten Zeitraums (Datum und Uhrzeit) protokolliert wurden, zu suchen. Neben den oben genannten Einstellungen haben Sie noch folgende Optionen: Nur ganze Wörter - Sucht nur nach Einträgen, die eine im Nach-Textfeld eingegebene Zeichenfolge als vollständiges Wort enthalten. Groß-/Kleinschreibung beachten - Sucht nur nach Einträgen, die eine im Nach-Textfeld eingegebene Zeichenfolge mit gleicher Groß- und Kleinschreibung enthalten. Rückwärts suchen - Sucht von der aktuellen Position aus rückwärts. Wenn Sie die Suchoptionen konfiguriert haben, klicken Sie auf Suchen, um die Suche zu starten. Die Suche wird gestoppt, sobald der erste Eintrag gefunden wurde, der den Suchkriterien entspricht. Klicken Sie auf Suchen, um die Suche fortzusetzen. Von der aktuellen und damit hervorgehobenen Position aus werden die Log-Dateien von Anfang bis Ende durchsucht Log-Wartung Die Log-Konfiguration für ESET File Security können Sie aus dem Hauptprogrammfenster aufrufen. Klicken Sie auf Einstellungen > Erweiterte Einstellungen > Tools > Log-Dateien. Für Log-Dateien können die folgenden Einstellungen vorgenommen werden: Log-Einträge automatisch löschen: Log-Einträge, die länger als die angegebene Anzahl von Tagen gespeichert sind, werden automatisch gelöscht. Log-Dateien automatisch optimieren: Log-Dateien werden automatisch defragmentiert, wenn der festgelegte Prozentsatz an nicht verwendeten Einträgen überschritten wird. Mindestinformation in Logs: Hier können Sie festlegen, welche Informationen in den Logs enthalten sein sollen. Verfügbare Optionen: - Diagnosedaten - Alle Informationen, die für die Feineinstellung des Programms erforderlich sind, und alle Meldungen höherer Stufe werden protokolliert - Informationen - Meldungen wie erfolgreiche Updates und alle Meldungen höherer Stufen werden protokolliert - Warnungen - Kritische Fehler und Warnungen werden protokolliert - Fehler - Nur Fehler wie zum Beispiel Fehler beim Herunterladen einer Datei und kritische Fehler werden protokolliert - Kritische Warnungen - Nur kritische Warnungen (z. B. bei einem Fehler beim Start des Virenschutz-Moduls) werden protokolliert 56

57 4.7 ESET SysInspector Einführung in ESET SysInspector ESET SysInspector ist eine Anwendung, die den Computer gründlich durchsucht und die gesammelten Daten ausführlich anzeigt. Informationen wie installierte Treiber und Anwendungen, Netzwerkverbindungen und wichtige Einträge in der Registrierung helfen Ihnen, verdächtiges Systemverhalten, sei es auf Grund von Software- oder Hardwareinkompatibilität oder einer Infektion mit Schadsoftware, zu untersuchen. Sie können auf zwei Arten auf ESET SysInspector zugreifen: über die in ESET File Security integrierte Version oder indem Sie die eigenständige Version (SysInspector.exe) kostenlos von der ESET-Website herunterladen. Um ESET SysInspector zu öffnen, klicken Sie auf Tools > ESET SysInspector. Die Funktionen und Steuerelemente beider Programmversionen sind identisch. Die Versionen unterscheiden sich nur in der Ausgabe der Informationen. Sowohl mit der eigenständigen als auch der integrierten Version können Snapshots des Systems in einer XML-Datei ausgegeben und auf einem Datenträger gespeichert werden. Mit der integrierten Version ist es jedoch auch möglich, die System-Snapshots direkt unter Tools > ESET SysInspector zu speichern (weitere Informationen finden Sie im Abschnitt ESET SysInspector als Teil von ESET File Security). Bitte gedulden Sie sich ein wenig, während ESET SysInspector Ihren Computer prüft. Je nach aktueller Hardware- Konfiguration, Betriebssystem und Anzahl der installierten Anwendungen kann die Prüfung zwischen 10 Sekunden und einigen Minuten dauern Starten von ESET SysInspector Zum Starten von ESET SysInspector führen Sie einfach die von der ESET-Website heruntergeladene Programmdatei SysInspector.exe aus. Wenn bereits ein ESET Security-Produkt installiert ist, können Sie ESET SysInspector direkt aus dem Startmenü starten (Programme > ESET > ESET File Security). Bitte haben Sie einen Augenblick Geduld, während die Anwendung Ihr System untersucht. Je nach der Art der Hardwarekonfiguration und den zu erfassenden Daten kann dies einige Minuten dauern. 57

58 4.7.2 Benutzeroberfläche und Verwenden der Anwendung Zur besseren Übersicht ist das Hauptfenster in vier größere Bereiche unterteilt: die Steuerelemente des Programms oben, das Navigationsfenster links, das Beschreibungsfenster mittig rechts und das Detailfenster unten rechts im Hauptfenster. Im Bereich Log-Status werden die grundlegenden Parameter eines Logs aufgeführt: Filterverwendung, Filtertyp, ob das Log Ergebnis eines Vergleichs ist usw Steuerelemente des Programms Dieser Abschnitt beschreibt die Menüs und sonstigen Bedienelemente in ESET SysInspector. Datei Über das Menü Datei können Sie die aktuellen Systeminformationen zur späteren Untersuchung speichern oder ein zuvor gespeichertes Log wieder öffnen. Falls ein Log weitergegeben werden soll, sollten Sie es über die Funktion Zum Senden geeignet erstellen. Sicherheitsrelevante Daten (Name und Berechtigungen des aktuellen Benutzers, Computername, Domänenname, Umgebungsvariablen usw.) werden dann nicht in das Log aufgenommen. HINWEIS: Gespeicherte ESET SysInspector-Logs können Sie schnell wieder öffnen, indem Sie sie einfach auf das Hauptfenster ziehen und dort ablegen. Verzeichnisbaum Hiermit können Sie alle Knoten erweitern oder schließen sowie die ausgewählten Bereiche in ein Dienste-Skript exportieren. Liste Dieses Menü enthält Funktionen zur einfacheren Navigation im Programm sowie eine Reihe von Zusatzfunktionen, etwa für die Online-Informationssuche. Hilfe Über dieses Menü finden Sie Informationen zur Anwendung und ihren Funktionen. 58

59 Eigenschaften Dieses Menü beeinflusst die Informationen, die im Hauptfenster dargestellt werden und vereinfacht somit ihre Verwendung. Im Modus Einfach haben Sie Zugang zu Informationen, die Hilfestellung bei gewöhnlichen Problemen im System liefern. Im Modus Mittel sehen Sie weniger häufig benötigte Informationen. Im Modus Vollständig zeigt ESET SysInspector alle verfügbaren Informationen an, sodass Sie auch sehr spezielle Probleme beheben können. Filterung der Elemente Mit der Filterfunktion können Sie schnell verdächtige Dateien oder Registrierungseinträge auf Ihrem System finden. Durch Verschieben des Schiebereglers legen Sie fest, ab welcher Risikostufe Objekte angezeigt werden. Befindet sich der Schieberegler ganz links (Risikostufe 1), werden alle Einträge angezeigt. Steht der Schieberegler hingegen weiter rechts, werden alle Objekte unterhalb der eingestellten Risikostufe ausgeblendet, sodass Sie nur die Objekte ab einer bestimmten Risikostufe sehen. Steht der Schieberegler ganz rechts, zeigt das Programm nur die als schädlich bekannten Einträge an. Alle Objekte der Risikostufen 6 bis 9 stellen unter Umständen ein Sicherheitsrisiko dar. Falls solche Objekte auf Ihrem System gefunden werden und Sie keine ESET Security-Lösung einsetzen, empfiehlt sich eine Überprüfung Ihres Systems mit dem kostenlosen ESET Online Scanner. HINWEIS: Die Risikostufe eines Eintrags können Sie leicht erkennen, indem Sie dessen Farbe mit der Farbe auf der Risikostufenskala vergleichen. Suchen Mit der Suche können Sie ein bestimmtes Objekt schnell über seinen Namen (oder einen Teil des Namens) finden. Die Suchergebnisse werden im Beschreibungsfenster angezeigt. Zurück Über die Schaltflächen mit den Pfeilen nach links und rechts können Sie zwischen den bisherigen Anzeigeinhalten des Beschreibungsbereichs wechseln. Anstatt auf Vor und Zurück zu klicken, können Sie auch die Leertaste bzw. Rücktaste (Backspace) verwenden. Statusbereich Hier sehen Sie, welcher Knoten im Navigationsbereich gerade ausgewählt ist. Wichtig: Rot hervorgehobene Objekte sind unbekannt und werden daher als potenziell gefährlich markiert. Falls ein Eintrag rot gefärbt ist, heißt das jedoch nicht zwingend, dass Sie die Datei löschen können. Stellen Sie vor dem Löschen sicher, dass die Dateien wirklich gefährlich oder unnötig sind Navigation in ESET SysInspector In ESET SysInspector gliedern sich die unterschiedlichen Systeminformationen in eine Reihe von Hauptabschnitten, die so genannten Knoten. Falls zusätzliche Informationen verfügbar sind, erreichen Sie diese, indem Sie einen Knoten um seine Unterknoten erweitern. Um einen Knoten zu öffnen oder zu reduzieren, doppelklicken Sie auf den Namen des Knotens, oder klicken Sie alternativ auf bzw. neben dem Namen. Soweit vorhanden, werden im Beschreibungsbereich Detailinhalte zum gerade im Navigationsbereich ausgewählten Knoten angezeigt. Diese Einträge im Beschreibungsbereich können Sie dann wiederum auswählen, um (soweit vorhanden) im Detailbereich weitere Detailinformationen dazu anzuzeigen. Im Folgenden sind die Hauptknoten im Navigationsbereich sowie die dazugehörigen Informationen im Beschreibungsund Detailbereich beschrieben. Ausgeführte Prozesse Dieser Knoten enthält Informationen zu den Anwendungen und Prozessen, die zum Zeitpunkt der Log-Erstellung ausgeführt wurden. Das Beschreibungsfenster zeigt weitere Details zu jedem Prozess, etwa die verwendeten dynamischen Bibliotheken samt Speicherort, den Namen des Programmherstellers und die Risikostufe der Dateien. Wenn Sie einen Eintrag im Beschreibungsfenster auswählen, erscheinen im Detailfenster weitere Informationen wie z. B. die Größe oder der Hashwert der betreffenden Datei. HINWEIS: Ein Betriebssystem enthält verschiedene durchgängig laufende Kernelkomponenten, die grundlegende und wichtige Funktionen für andere Benutzeranwendungen bereitstellen. In bestimmten Fällen wird für solche Prozesse in ESET SysInspector ein Dateipfad angezeigt, der mit \??\ beginnt. Diese Symbole stellen eine vor dem Start liegende Optimierung für derartige Prozesse dar. Sie sind für das System ungefährlich. 59

60 Netzwerkverbindungen Wenn Sie im Navigationsbereich ein Protokoll (TCP oder UDP) auswählen, erscheint im Beschreibungsbereich eine Liste der Prozesse und Anwendungen, die über das betreffende Protokoll im Netzwerk kommunizieren, samt der jeweiligen Remoteadresse. Außerdem können Sie hier die IP-Adressen der DNS-Server überprüfen. Wenn Sie einen Eintrag im Beschreibungsfenster auswählen, erscheinen im Detailfenster weitere Informationen wie z. B. die Größe oder der Hashwert der betreffenden Datei. Wichtige Einträge in der Registrierung Hier finden Sie eine Liste ausgewählter Registrierungseinträge, die oft im Zusammenhang mit Systemproblemen stehen. Dies betrifft beispielsweise die Registrierungseinträge für Autostart-Programme, Browser-Hilfsobjekte (BHO) usw. Im Beschreibungsbereich werden die mit dem jeweiligen Registrierungseintrag verbundenen Dateien angezeigt. Das Detailfenster zeigt zusätzliche Informationen an. Dienste Bei diesem Knoten enthält der Beschreibungsbereich eine Liste der Dateien, die als Windows-Dienste registriert sind. Das Detailfenster informiert über spezifische Details und darüber, auf welche Art ein Dienst gestartet wird. Treiber Dieser Knoten enthält eine Liste der im System installierten Treiber. Kritische Dateien Unter diesem Knoten können Sie sich im Beschreibungsbereich den Inhalt wichtiger Konfigurationsdateien von Microsoft Windows anzeigen lassen. Systeminformationen Hier finden Sie ausführliche Informationen zu Hardware und Software, den gesetzten Umgebungsvariablen sowie den Benutzerberechtigungen. Dateidetails Dieser Knoten enthält eine Liste der wichtigen Systemdateien sowie der Dateien im Ordner Programme. Zusätzliche Informationen speziell für diese Dateien werden im Beschreibungs- und Detailfenster angezeigt. Über Informationen zu ESET SysInspector Vergleichsfunktion Mit der Vergleichen -Funktion ist es möglich, zwei bestehende Log-Dateien miteinander zu vergleichen. Auf diese Weise erlangen Sie Informationen, die aus den beiden einzelnen Log-Dateien für sich genommen nicht hervorgehen. Diese Funktion ist geeignet, um Änderungen am System zu erkennen, und hilft, die Aktivitäten eines Schadprogramms zu entdecken. Nach dem Start erzeugt die Anwendung ein neues Log, das in einem neuen Fenster angezeigt wird. Um das Log zu speichern, klicken Sie auf Datei > Log-Datei speichern. Gespeicherte Log-Dateien können Sie später wieder öffnen, um sie einzusehen. Ein bestehendes Log öffnen Sie über Datei > Log-Datei öffnen. Im Hauptfenster von ESET SysInspector wird immer nur jeweils ein Log angezeigt. Die Vergleichsfunktion hat den Vorteil, dass Sie sich eine aktive und eine gespeicherte Log-Datei anzeigen lassen können. Hierzu klicken Sie auf Datei > Logs vergleichen und wählen dann Datei auswählen. Das gewählte Log wird mit dem gerade aktiven im Hauptprogrammfenster verglichen. Das Vergleichs-Log führt lediglich Unterschiede zwischen diesen beiden Logs auf. HINWEIS: Wenn Sie nach dem Vergleich zweier Logs auf Datei > Log-Datei speichern klicken und das Ergebnis als ZIP- Datei speichern, werden beide Log-Dateien gespeichert. Wenn Sie die so entstandene Datei später öffnen, werden die enthaltenen Logs automatisch verglichen. Neben den einzelnen Einträgen erscheinen Symbole, die angeben, um was für eine Art von Unterschied es sich handelt. Einträge, die mit einem markiert sind, sind nur im aktuellen Log vorhanden, nicht jedoch im geöffneten Vergleichs- 60

61 Log. Einträge, die mit einem markiert sind, waren nur zur Erstellungszeit des Vergleichs-Logs vorhanden, sind es jedoch nicht mehr im aktuellen Log. Beschreibung aller Symbole, die neben den Einträgen angezeigt werden können: Neuer Wert, nicht im vorherigen Log enthalten Betreffender Zweig der Baumstruktur enthält neue Werte Gelöschter Wert, nur im vorherigen Log enthalten Betreffender Zweig der Baumstruktur enthält gelöschte Werte Wert/Datei wurde geändert Betreffender Zweig der Baumstruktur enthält geänderte Werte/Dateien Risiko ist gesunken (war im vorherigen Log höher) Risiko ist gestiegen (war im vorherigen Log niedriger) Der Erklärungsbereich in der linken unteren Ecke beschreibt alle Symbole und zeigt auch die Namen der Log-Dateien an, die verglichen werden. Jedes Vergleichs-Log kann als Datei gespeichert und später wieder geöffnet werden. Beispiel Erstellen und speichern Sie ein Log, das die ursprünglichen Informationen über das System enthält, als vorher.xml. Nachdem Sie Änderungen am System vorgenommen haben, öffnen Sie ESET SysInspector und erstellen Sie ein neues Log. Speichern Sie dieses unter dem Namen neu.xml. Um die Unterschiede zwischen diesen beiden Logs zu sehen, klicken Sie auf Datei > Logs vergleichen. Das Programm erstellt nun ein Vergleichs-Log, das die Unterschiede beider Log-Dateien anzeigt. Mithilfe des folgenden Befehls in der Kommandozeile kann das gleiche Resultat erzielt werden: SysInspector.exe aktuell.xml vorher.xml Kommandozeilenparameter Mit ESET SysInspector können Sie auch von der Kommandozeile aus Berichte erzeugen. Hierzu stehen die folgenden Parameter zur Verfügung: /gen /privacy /zip /silent /help, /? Ergebnis-Log direkt aus der Kommandozeile erzeugen, keine grafische Oberfläche anzeigen Keine sicherheitsrelevanten Informationen ins Log aufnehmen Ergebnis-Log direkt in einer komprimierten Datei auf dem Datenträger speichern Keine Fortschrittsleiste während der Erstellung des Logs anzeigen Hilfe zu den Kommandozeilenparametern anzeigen Beispiele Bestimmtes Log direkt in den Browser laden: SysInspector.exe "c:\clientlog.xml" Log im aktuellen Ordner speichern: SysInspector.exe /gen Log in einem bestimmten Ordner speichern: SysInspector.exe /gen="c:\ordner\" Log in einer bestimmten Datei speichern: SysInspector.exe /gen="c:\ordner\meinlog.xml" Log ohne sicherheitsrelevante Daten direkt in einer komprimierten Datei speichern: SysInspector.exe /gen="c:\meinlog. zip" /privacy /zip Zwei Logs vergleichen: SysInspector.exe "log_neu.xml" "log_alt.xml" HINWEIS: Datei- und Ordnernamen mit Leerzeichen sollten in Hochkommata gesetzt werden. 61

62 4.7.4 Dienste-Skript Ein Dienste-Skript ist ein Hilfsmittel für Benutzer von ESET SysInspector zur einfachen Entfernung unerwünschter Objekte aus dem System. Das Dienste-Skript ermöglicht den Export des gesamten ESET SysInspector-Logs oder ausgewählten Teilen davon. Nach dem Export können Sie unerwünschte Objekte zum Löschen markieren. Anschließend können Sie das so bearbeitete Log ausführen, um die markierten Objekte zu löschen. Das Dienste-Skript ist für fortgeschrittene Benutzer geeignet, die bereits Erfahrung mit der Diagnose von Systemproblemen haben. Unqualifizierte Änderungen können das Betriebssystem beschädigen. Beispiel Wenn Sie vermuten, dass Ihr Computer mit einem Virus infiziert ist, den Ihr Antivirusprogramm nicht erkennt, gehen Sie wie folgt vor: Führen Sie ESET SysInspector aus, um einen neuen System-Snapshot zu erstellen. Wählen Sie den ersten Menüpunkt im Bereich auf der linken Seite (in der Baumstruktur). Halten Sie die Strg-Taste gedrückt, und wählen Sie den letzten Menüpunkt, um alle Menüpunkte zu markieren. Klicken Sie mit der rechten Maustaste auf die ausgewählten Objekte und wählen Sie die Option Ausgewählte Bereiche in das Dienste-Skript exportieren im Kontextmenü. Die ausgewählten Objekte werden in ein neues Log exportiert. Es folgt der wichtigste Schritt des gesamten Vorgangs: Öffnen Sie das neue Log und ändern Sie das Zeichen - vor allen Objekten, die gelöscht werden sollen, auf +. Stellen Sie sicher, dass Sie keine wichtige Betriebssystem-Dateien oder -Objekte markieren. Öffnen Sie ESET SysInspector, klicken Sie auf Datei > Dienste-Skript ausführen und geben Sie den Pfad zu Ihrem Skript ein. Klicken Sie auf OK, um das Skript auszuführen Erstellen eines Dienste-Skripts Um ein Skript zu erstellen, klicken Sie im ESET SysInspector-Hauptfenster mit der rechten Maustaste auf ein beliebiges Element im Navigationsbereich auf der linken Seite des Fensters. Wählen Sie im Kontextmenü dann entweder Alle Bereiche in das Dienste-Skript exportieren oder Ausgewählte Bereiche in das Dienste-Skript exportieren. HINWEIS: Wenn Sie gerade zwei Logs miteinander vergleichen, ist kein Export in ein Dienste-Skript möglich Aufbau des Dienste-Skripts In der ersten Zeile des Skriptheaders finden Sie Angaben zur Engine-Version (ev), zur Version der Benutzeroberfläche (gv) sowie zur Log-Version (lv). Über diese Angaben können Sie mögliche Änderungen an der XML-Datei verfolgen, über die das Skript erzeugt wird, und dadurch Inkonsistenzen bei der Ausführung vermeiden. An diesem Teil des Skripts sollten keine Änderungen vorgenommen werden. Der Rest der Datei gliedert sich in mehrere Abschnitte, deren Einträge Sie bearbeiten können, um festzulegen, welche davon bei der Ausführung verarbeitet werden sollen. Um einen Eintrag für die Verarbeitung zu markieren, ersetzen Sie das davor stehende Zeichen - durch ein +. Die einzelnen Skriptabschnitte sind jeweils durch eine Leerzeile voneinander getrennt. Jeder Abschnitt hat eine Nummer und eine Überschrift. 01) Running processes (Ausgeführte Prozesse) Dieser Abschnitt enthält eine Liste mit allen Prozessen, die auf dem System ausgeführt werden. Für jeden Prozess ist der UNC-Pfad gefolgt vom CRC16-Hashwert in Sternchen (*) aufgeführt. Beispiel: 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...] In diesem Beispiel wurde der Prozess module32.exe ausgewählt, indem er mit dem Zeichen + markiert wurde. Beim Ausführen des Skripts wird dieser Prozess beendet. 62

63 02) Loaded modules (Geladene Module) Dieser Abschnitt enthält eine Liste der momentan verwendeten Systemmodule. Beispiel: 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...] In diesem Beispiel wurde das Modul khbekhb.dll mit einem + markiert. Beim Ausführen des Skripts werden alle Prozesse, die dieses Modul verwenden, ermittelt und anschließend beendet. 03) TCP connections (TCP-Verbindungen) Dieser Abschnitt enthält Informationen zu den aktiven TCP-Verbindungen. Beispiel: 03) TCP connections: - Active connection: : > :55320, owner: ekrn.exe - Active connection: : > :50006, - Active connection: : > :30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...] Beim Ausführen des Skripts wird der Eigentümer des Sockets der markierten TCP-Verbindungen ermittelt. Anschließend wird der Socket beendet, wodurch Systemressourcen wieder frei werden. 04) UDP endpoints (UDP-Endpunkte) Dieser Abschnitt enthält Informationen zu den aktiven UDP-Endpunkten. Beispiel: 04) UDP endpoints: , port 123 (ntp) , port , port 4500 (ipsec-msft) , port 500 (isakmp) [...] Beim Ausführen des Skripts wird der Eigentümer des Sockets der markierten UDP-Verbindungen ermittelt. Anschließend wird der Socket beendet. 05) DNS server entries (DNS-Servereinträge) Dieser Abschnitt enthält Angaben zur aktuellen DNS-Serverkonfiguration. Beispiel: 05) DNS server entries: [...] Beim Ausführen des Skripts werden die markierten DNS-Servereinträge entfernt. 06) Important registry entries (Wichtige Registrierungseinträge) Dieser Abschnitt enthält Informationen zu wichtigen Registrierungseinträgen. 63

64 Beispiel: 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = [...] Beim Ausführen des Skripts werden die markierten Einträge gelöscht, auf eine Länge von 0 Byte abgeschnitten oder auf die Standardwerte zurückgesetzt. Was davon im Einzelfall geschieht, hängt von der Art des Eintrags und dem Wert des Schlüssels ab. 07) Services (Dienste) Dieser Abschnitt enthält eine Liste der auf dem System registrierten Dienste. Beispiel: 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...] Beim Ausführen des Skripts werden die markierten Dienste samt davon abhängiger Dienste beendet und deinstalliert. 08) Drivers (Treiber) Dieser Abschnitt enthält eine Liste der installierten Treiber. Beispiel: 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32 \drivers\adihdaud.sys, state: Running, startup: Manual [...] Beim Ausführen des Skripts werden die Registrierungen der ausgewählten Treiber aufgehoben, und die Treiber werden vom System entfernt. 09) Critical files (Kritische Dateien) Dieser Abschnitt enthält Angaben zu Dateien, die für eine korrekte Funktion des Betriebssystems wesentlich sind. 64

65 Beispiel: 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts localhost - ::1 localhost [...] Die ausgewählten Objekte werden entweder gelöscht oder auf ihren ursprünglichen Wert zurückgesetzt Ausführen von Dienste-Skripten Markieren Sie die gewünschten Elemente, speichern und schließen Sie das Skript. Führen Sie das fertige Skript dann direkt aus dem ESET SysInspector-Hauptfenster aus, indem Sie im Menü Datei auf Dienste-Skript ausführen klicken. Beim Öffnen eines Skripts wird die folgende Bestätigungsabfrage angezeigt: Möchten Sie das Dienste-Skript % Skriptname% wirklich ausführen? Nachdem Sie diese Abfrage bestätigt haben, erscheint unter Umständen eine weitere Warnmeldung, dass das auszuführende Dienste-Skript nicht signiert wurde. Klicken Sie auf Starten, um das Skript auszuführen. Ein Dialogfenster mit der Bestätigung über die erfolgreiche Ausführung des Skripts wird angezeigt. Wenn das Skript nur teilweise verarbeitet werden konnte, wird ein Dialogfenster mit der folgenden Meldung angezeigt: Das Dienste-Skript wurde teilweise ausgeführt. Möchten Sie den Fehlerbericht anzeigen? Wählen Sie Ja, um einen ausführlichen Fehlerbericht mit Informationen zu den nicht ausgeführten Aktionen anzuzeigen. Wenn das Skript nicht erkannt wurde, wird ein Dialogfenster mit der folgenden Meldung angezeigt: Das ausgewählte Dienste-Skript trägt keine Signatur. Wenn Sie unbekannte Skripte und Skripte ohne Signatur ausführen, können die Daten Ihres Computers beschädigt werden. Möchten Sie das Skript und die Aktionen wirklich ausführen? Eine solche Meldung kann durch Inkonsistenzen im Skript verursacht werden (beschädigter Header, beschädigte Abschnittsüberschrift, fehlende Leerzeile zwischen Bereichen usw.). Sie können dann entweder die Skriptdatei öffnen und die Fehler beheben oder ein neues Dienste-Skript erstellen Tastaturbefehle Für die Arbeit mit ESET SysInspector stehen Ihnen die folgenden Tastaturbefehle zur Verfügung: Datei Strg+O Strg+S bestehendes Log öffnen erstelltes Log speichern Erstellen Strg+G Strg+H Standardüberprüfung des Systemstatus Systemuntersuchung, bei der auch sicherheitsrelevante Informationen protokolliert werden Filterung der Elemente 1, O in Ordnung, Einträge der Risikostufen 1-9 werden angezeigt 2 in Ordnung, Einträge der Risikostufen 2-9 werden angezeigt 3 in Ordnung, Einträge der Risikostufen 3-9 werden angezeigt 4, U unbekannt, Einträge der Risikostufen 4-9 werden angezeigt 5 unbekannt, Einträge der Risikostufen 5-9 werden angezeigt 6 unbekannt, Einträge der Risikostufen 6-9 werden angezeigt 7, B risikoreich, Einträge der Risikostufen 7-9 werden angezeigt 8 risikoreich, Einträge der Risikostufen 8-9 werden angezeigt 9 risikoreich, Einträge der Risikostufe 9 werden angezeigt - verringert Risikostufe + erhöht Risikostufe 65

66 Strg+9 Strg+0 Filtermodus, gleiche oder höhere Stufe Filtermodus, nur gleiche Stufe Ansicht Strg+5 Strg+6 Strg+7 Strg+3 Strg+2 Strg+1 Rücktaste Leertaste Strg+W Strg+Q Anzeige nach Anbieter, alle Anbieter Anzeige nach Anbieter, nur Microsoft Anzeige nach Anbieter, alle anderen Anbieter zeigt vollen Detailmodus an zeigt mittleren Detailmodus an einfache Darstellung geht einen Schritt zurück geht einen Schritt vor erweitert die Baumstruktur reduziert die Baumstruktur Sonstige Steuerelemente Strg+T Strg+P Strg+A Strg+C Strg+X Strg+B Strg+L Strg+R Strg+Z Strg+F Strg+D Strg+E kehrt nach der Auswahl von Suchergebnissen zum Ursprung des Eintrags zurück zeigt grundlegende Informationen zu einem Eintrag an zeigt alle Informationen zu einem Eintrag an kopiert die Baumstruktur des aktuellen Eintrags kopiert Einträge sucht im Internet nach Informationen zu den ausgewählten Dateien öffnet den Ordner, in dem sich die ausgewählte Datei befindet öffnet den dazugehörigen Eintrag im Registrierungs-Editor kopiert den Pfad in eine Datei (falls der Eintrag mit einer Datei zusammenhängt) zum Suchfeld wechseln schließt die Suchergebnisse startet ein Dienste-Skript Vergleichen Strg+Alt+O Strg+Alt+R Strg+Alt+1 Strg+Alt+2 Strg+Alt+3 Strg+Alt+4 Strg+Alt+5 Strg+Alt+C Strg+Alt+N Strg+Alt+P öffnet das Original-/Vergleichs-Log bricht das Vergleichen ab zeigt alle Einträge an zeigt nur hinzugekommene Einträge an, das Log listet die aktuellen Einträge auf zeigt nur entfernte Einträge an, das Log listet die Einträge des vorherigen Logs auf zeigt nur ersetzte Einträge an (Dateien eingeschlossen) führt lediglich Unterschiede zwischen den Logs auf Vergleich anzeigen zeigt das aktuelle Log an öffnet das vorherige Log Allgemein F1 ruft die Hilfe auf Alt+F4 schließt das Programm Alt+Umschalt+F4schließt das Programm ohne Nachfrage Strg+I Log-Statistiken Häufig gestellte Fragen (FAQ) Muss ESET SysInspector mit Administratorrechten ausgeführt werden? ESET SysInspector muss zwar nicht unbedingt mit Administratorrechten ausgeführt werden, einige Informationen können jedoch nur über ein Administratorkonto erfasst werden. Führt ein Standardbenutzer oder ein Benutzer mit eingeschränkten Rechten das Programm aus, werden weniger Informationen über die Arbeitsumgebung zusammengestellt. Erstellt ESET SysInspector eine Log-Datei? ESET SysInspector kann eine Log-Datei mit der Konfiguration Ihres Computers erstellen. Um diese zu speichern, wählen Sie Datei > Log-Datei speichern aus dem Hauptmenü. Logs werden im XML-Format gespeichert. Standardmäßig erfolgt dies im Verzeichnis %USERPROFILE%\Eigene Dateien\ und unter einem Namen nach dem Muster SysInspector-%COMPUTERNAME%-JJMMTT-HHMM.XML. Falls Sie es vorziehen, können Sie Speicherort und -namen vor dem Speichern ändern. 66

67 Wie zeige ich eine ESET SysInspector-Log-Datei an? Um eine von ESET SysInspector erstellte Log-Datei anzuzeigen, starten Sie das Programm und klicken im Hauptmenü auf Datei > Log öffnen. Sie können Log-Dateien auch auf ESET SysInspector ziehen und dort ablegen. Wenn Sie häufig Log-Dateien aus ESET SysInspector anzeigen müssen, empfiehlt es sich, auf dem Desktop eine Verknüpfung zur Datei SYSINSPECTOR.EXE anzulegen. So können Sie Log-Dateien einfach auf dieses Symbol ziehen, um sie zu öffnen. Aus Sicherheitsgründen ist es unter Windows Vista und Windows 7 ggf. nicht möglich, Dateien per Drag and Drop zwischen Fenstern mit unterschiedlichen Sicherheitsberechtigungen zu verschieben. Ist eine Spezifikation für das Format der Log-Dateien verfügbar? Wie steht es um ein Software Development Kit (SDK)? Zum gegenwärtigen Zeitpunkt sind weder eine Spezifikation noch ein SDK verfügbar, da sich das Programm noch in der Entwicklung befindet. Nach Veröffentlichung des Programms bieten wir diese möglicherweise an, abhängig von Kundenfeedback und Nachfrage. Wie bewertet ESET SysInspector das Risiko, das von einem bestimmten Objekt ausgeht? Um Objekten wie Dateien, Prozessen, Registrierungsschlüsseln usw. eine Risikostufe zuzuordnen, verwendet ESET SysInspector in der Regel einen Satz heuristischer Regeln, mit denen die Merkmale des Objekts untersucht werden, um anschließend nach entsprechender Gewichtung das Potenzial für schädliche Aktivitäten abzuschätzen. Basierend auf dieser Heuristik wird Objekten dann eine Risikostufe zugewiesen, von 1 - In Ordnung (grün) bis 9 - Risikoreich(rot). In der linken Navigationsanzeige sind Bereiche auf Grundlage der jeweils höchsten Risikostufe der Objekte in ihnen eingefärbt. Bedeutet eine Risikostufe von 6 - Unbekannt (rot), dass ein Objekt gefährlich ist? Die Einschätzung von ESET SysInspector legt nicht endgültig fest, ob eine Gefahr von einem Objekt ausgeht. Diese Entscheidung muss ein Sicherheitsexperte treffen. ESET SysInspector kann hierbei helfen, indem es dem Experten schnell zeigt, welche Objekte eventuell gründlicher untersucht werden müssen. Warum stellt ESET SysInspector beim Start eine Verbindung ins Internet her? Wie viele Anwendungen ist auch ESET SysInspector mit einem digitalen Zertifikat signiert, mit dem überprüft werden kann, dass die Software tatsächlich von ESET stammt und nicht verändert wurde. Um das Zertifikat zu verifizieren, kontaktiert das Betriebssystem eine Zertifizierungsstelle, welche die Identität des Softwareherstellers verifiziert. Dies ist ein normaler Vorgang für alle digital unterschriebenen Programme unter Microsoft Windows. Was ist Anti-Stealth-Technologie? Die Anti-Stealth-Technologie ermöglicht eine effektive Erkennung von Rootkits. Wenn ein System von Schadcode angegriffen wird, das sich wie ein Rootkit verhält, ist der Benutzer dem Risiko von Schaden an seinen Daten oder deren Diebstahl ausgesetzt. Ohne ein spezielles Anti-Rootkit-Tool ist es beinahe unmöglich, ein Rootkit aufzuspüren. Warum ist bei Dateien manchmal Microsoft als Unterzeichner angegeben, wenn gleichzeitig aber ein anderer Firmenname angezeigt wird? Beim Versuch, die digitale Signatur einer ausführbaren Datei zu ermitteln, überprüft ESET SysInspector zuerst, ob in der Datei eine eingebettete Signatur vorhanden ist. In einem solchen Fall wird die Datei mithilfe der in ihr enthaltenen Identifikation überprüft. Falls die zu überprüfende Datei keine digitale Signatur enthält, sucht ESI nach einer zugehörigen CAT-Datei (Sicherheitskatalog - %systemroot%\system32\catroot), die Informationen über die Datei enthält. Falls eine entsprechende CAT-Datei existiert, wird deren digitale Signatur beim Überprüfungsprozess für die ausführbare Datei übernommen. Aus diesem Grund sind einige Dateien mit Signatur MS markiert, obwohl unter Firmenname ein anderer Eintrag vorhanden ist. Beispiel: Windows 2000 enthält die Anwendung HyperTerminal in C:\Programme\Windows NT. Die ausführbare Hauptdatei ist nicht digital signiert. In ESET SysInspector wird sie jedoch als von Microsoft signiert markiert. Dies liegt daran, dass in C: \WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat ein Verweis auf C:\Programme\Windows NT\hypertrm.exe (die Haupt-Programmdatei von HyperTerminal) vorhanden ist und sp4.cat wiederum durch Microsoft digital signiert wurde. 67

68 4.7.7 ESET SysInspector als Teil von ESET File Security Um den ESET SysInspector-Bereich in ESET File Security zu öffnen, klicken Sie auf Tools > ESET SysInspector. Das Verwaltungssystem im ESET SysInspector-Fenster ähnelt dem von Prüfungslogs oder geplanten Tasks. Alle Vorgänge mit Systemsnapshots - Erstellen, Anzeigen, Vergleichen, Entfernen und Exportieren - sind mit einem oder zwei Klicks zugänglich. Das ESET SysInspector-Fenster enthält Basisinformationen zum erstellten Snapshot wie z. B. Erstellungszeitpunkt, kurzer Kommentar, Name des Benutzers, der den Snapshot erstellt hat, sowie den Status des Snapshots. Zum Vergleichen, Erstellen oder Löschen von Snapshots verwenden Sie die entsprechenden Schaltflächen unter der Snapshot-Liste im ESET SysInspector-Fenster. Diese Optionen sind ebenfalls im Kontextmenü verfügbar. Um den gewählten Systemsnapshot anzuzeigen, verwenden Sie die Option Anzeigen im Kontextmenü. Um den gewünschten Snapshot in eine Datei zu exportieren, klicken Sie mit der rechten Maustaste darauf, und wählen Sie Exportieren... Die einzelnen Befehle sind nachstehend noch einmal ausführlicher beschrieben: Vergleichen - Hiermit können Sie zwei vorhandene Logs vergleichen. Diese Funktion eignet sich dafür, alle Unterschiede zwischen dem aktuellen und einem älteren Log zu ermitteln. Um sie zu nutzen, müssen Sie zwei Snapshots zum Vergleich auswählen. Hinzufügen - Erstellen eines neuen Snapshots. Hierzu müssen Sie zunächst einen kurzen Kommentar zum Snapshot eingeben. Der Erstellungsfortschritt wird in der Spalte Status angezeigt. Alle fertiggestellten Snapshots sind mit dem Status Erstellt markiert. Entfernen - Entfernt Einträge aus der Liste. Exportieren... - Speichert den ausgewählten Eintrag als XML-Datei (wahlweise auch komprimiert als ZIP-Datei). 4.8 ESET SysRescue ESET SysRescue ist ein Utility, mit dem Sie einen bootfähigen Datenträger mit ESET File Security erstellen können. Der große Vorteil von ESET SysRescue ist, dass ESET File Security damit unabhängig vom Betriebssystem auf dem jeweiligen Rechner ausgeführt werden kann und direkten Zugriff auf die Festplatte sowie das gesamte Dateisystem hat. Auf diese Weise lassen sich auch Infektionen entfernen, bei denen dies normalerweise (bei laufendem Betriebssystem usw.) nicht möglich wäre Minimalanforderungen ESET SysRescue verwendet das Microsoft Windows Preinstallation Environment (Windows PE) Version 2.x, das wiederum auf Windows Vista basiert. Windows PE ist Teil des kostenlosen Windows Automated Installation Kit (Windows AIK). Vor dem Erstellen einer ESET SysRescue-CD muss daher das Windows AIK installiert werden ( eset.eu/aik). Da die 32-Bit-Version von Windows PE unterstützt wird, muss beim Erstellen von ESET SysRescue auf 64- Bit-Systemen ein 32-Bit-Installationspaket von ESET File Security verwendet werden. ESET SysRescue unterstützt Windows AIK 1.1 und höher. ESET SysRescue ist in ESET File Security ab der Version 4.0 verfügbar. Unterstützte Betriebssysteme Windows 7 Windows Vista Windows Vista Service Pack 1 Windows Vista Service Pack 2 Windows Server 2008 Windows Server 2003 Service Pack 1 mit KB Windows Server 2003 Service Pack 2 Windows XP Service Pack 2 mit KB Windows XP Service Pack 3 68

69 4.8.2 So erstellen Sie eine Rettungs-CD Klicken Sie auf Start > Programme > ESET > ESET File Security > ESET SysRescue, um den ESET SysRescue- Assistenten zu starten. Zuerst prüft der Assistent, ob Windows AIK und ein geeignetes Gerät für die Erstellung des Bootmediums verfügbar sind. Wenn das Windows AIK auf Ihrem Computer nicht installiert (oder beschädigt oder nicht korrekt installiert) ist, bietet Ihnen der Assistent die Möglichkeit, es zu installieren oder den Pfad zu Ihrem Windows AIK-Ordner anzugeben( Im nächsten Schritt wählen Sie das Zielmedium für ESET SysRescue aus Zielauswahl Neben CD/DVD/USB können Sie ESET SysRescue auch in einer ISO-Datei speichern. Später können Sie dann das ISO- Abbild auf CD/DVD brennen oder es anderweitig verwenden (z. B. in einer virtuellen Umgebung wie VMware oder VirtualBox). Beachten Sie beim Zielmedium USB, dass auf manchen Computern nicht von USB gestartet werden kann. Manche BIOS-Versionen melden Probleme mit der Kommunikation zwischen BIOS und Bootmanager (z. B. bei Windows Vista). In diesen Fällen wird der Bootvorgang mit der folgenden Fehlermeldung abgebrochen: file : \boot\bcd status : 0xc000000e info : an error occurred while attemping to read the boot configuration data Wenn diese Fehlermeldung angezeigt wird, wählen Sie als Zielmedium CD anstelle von USB Einstellungen Vor der Erstellung der ESET SysRescue-CD werden beim letzten Schritt im ESET SysRescue-Installationsassistenten einige Kompilierungsparameter angezeigt. Diese können Sie über die Schaltfläche Ändern bearbeiten. Folgende Optionen stehen zur Verfügung: Ordner ESET Antivirus Erweitert Internetprotokoll Bootfähiges USB-Gerät (wenn als Ziel ein USB-Gerät ausgewählt wurde) Brennen (wenn als Ziel ein CD/DVD-Laufwerk ausgewählt wurde) Die Schaltfläche Ändern ist deaktiviert, wenn kein MSI-Installationspaket angegeben wurde oder falls keine ESET- Sicherheitslösung auf dem Computer installiert ist. Um ein Installationspaket auszuwählen, klicken Sie auf die Schaltfläche Ändern. Rufen Sie dann die Registerkarte ESET Antivirus auf. Beachten Sie bitte außerdem, dass die Schaltfläche Erstellen nur dann aktiv ist, wenn Sie einen Benutzernamen und ein Passwort eingeben (Ändern > ESET Antivirus) Ordner Temporärer Ordner ist das Arbeitsverzeichnis für die bei der Kompilierung eines ESET SysRescue-Mediums erforderlichen Dateien. ISO-Ordner ist der Ordner, in dem die fertige ISO-Datei nach Abschluss der Kompilierung gespeichert wird. In der Liste auf dieser Registerkarte werden alle lokalen und verbundenen Netzlaufwerke mit dem jeweils verfügbaren freien Speicherplatz angezeigt. Falls sich einige der Ordner auf einem Laufwerk befinden, das nicht über ausreichend freien Speicherplatz verfügt, so wird empfohlen, ein anderes Laufwerk mit mehr freiem Speicher auszuwählen. Anderenfalls bricht die Kompilierung möglicherweise vorzeitig ab. Externe Anwendungen - Hiermit können Sie zusätzliche Programme festlegen, die nach dem Starten von einem ESET SysRescue-Medium ausgeführt oder installiert werden. Externe Anwendungen einschließen - Mit dieser Option können Sie externe Programme zur ESET SysRescue- Kompilation hinzufügen. Ausgewählter Ordner - Ordner, in dem sich die Programme befinden, die zur ESET SysRescue-CD hinzugefügt werden sollen 69

70 ESET Antivirus Beim Erstellen der ESET SysRescue-CD können Sie zwei Quellen für die vom Compiler zu verwendenden ESET-Dateien wählen. ESS/EAV-Ordner - Es werden die bereits vorhandenen Dateien aus dem Ordner verwendet, in dem das ESET Produkt auf dem Computer installiert ist. MSI-Datei - Es werden die im MSI-Installationspaket enthaltenen Dateien verwendet. Danach können Sie den Speicherort der.nup-dateien ändern. Normalerweise sollte die Standardoption ESS/EAV- Ordner/MSI-Datei eingestellt sein. In Ausnahmefällen kann ein benutzerdefinierter Update-Ordner ausgewählt werden, z. B. um eine ältere oder neuere Version der Signaturdatenbank zu verwenden. Sie können eine der beiden folgenden Quellen für Benutzername und Passwort verwenden: ESS/EAV-Installation - Benutzername und Passwort werden der vorhandenen Installation von ESET File Security entnommen. Von Benutzer - Es werden der Benutzername und das Passwort verwendet, die Sie in den dazugehörigen Feldern eingeben. HINWEIS: ESET File Security auf der ESET SysRescue-CD wird entweder über das Internet oder über die ESET Security- Lösung aktualisiert, die auf dem Computer installiert ist, auf dem die ESET SysRescue-CD ausgeführt wird Erweiterte Einstellungen Auf der Registerkarte Erweitert können Sie die ESET SysRescue-CD für die Größe des Arbeitsspeichers auf Ihrem Computer optimieren. Wenn Sie 576 MB oder mehr wählen, wird der Inhalt der CD in den Arbeitsspeicher (RAM) geschrieben. Bei der Einstellung weniger als 576 MB findet im Betrieb von WinPE hingegen laufend ein Zugriff auf die Rettungs-CD statt. Im Bereich Externe Treiber können Sie Treiber für Ihre Hardware (z. B. Netzwerkadapter) hinzufügen. Da WinPE auf Windows Vista SP1 basiert, ist eine breite Hardwareunterstützung gegeben. In manchen Fällen kann es jedoch vorkommen, dass Hardware nicht erkannt wird. In diesem Fall müssen Sie den Treiber von Hand hinzufügen. Um den Treiber in ESET SysRescue zu integrieren, gibt es zwei Möglichkeiten: manuell (über die Schaltfläche Hinzufügen) oder automatisch (Schaltfläche Autom. Suche). Bei der manuellen Methode müssen Sie den Pfad zur passenden.inf-datei auswählen (die dazugehörige *.sys-datei muss ebenfalls in diesem Ordner liegen). Bei der automatischen Methode wird der Treiber automatisch im Betriebssystem des aktuellen Computers gesucht. Diese Methode sollten Sie nur verwenden, wenn Sie ESET SysRescue später auf einem Computer mit derselben Hardware (z. B. Netzwerkadapter) wie dem Computer nutzen, auf dem Sie die ESET SysRescue-CD erstellt haben. Bei der Erstellung der ESET SysRescue-CD wird der Treiber integriert, sodass Sie ihn später nicht mehr suchen müssen Internetprotokoll In diesem Bereich können Sie grundlegende Netzwerkinformationen konfigurieren und vordefinierte Verbindungen für ESET SysRescue einrichten. Wählen Sie Automatische private IP-Adresse, um die IP-Adresse automatisch vom DHCP-Server (Dynamic Host Configuration Protocol) abzurufen. Alternativ kann bei dieser Netzwerkverbindung auch eine manuell eingegebene IP-Adresse (statische IP-Adresse) verwendet werden. Wählen Sie Benutzerdefiniert zur Konfiguration der entsprechenden IP-Einstellungen. Wenn Sie diese Option aktivieren, müssen Sie eine IP-Adresse eingeben, bei LAN- und Breitband-Internetverbindungen zusätzlich eine Subnetzmaske. Geben Sie bei Bevorzugter DNS-Server und Alternativer DNS-Server die IP-Adressen des primären und sekundären DNS-Servers ein. 70

71 Bootfähiges USB-Gerät Falls Sie ein USB-Gerät als Zielmedium ausgewählt haben, können Sie eines der verfügbaren USB-Medien auf der Registerkarte Bootfähiges USB-Gerät auswählen (falls mehrere USB-Geräte vorhanden sind). Wählen Sie das entsprechende Ziel-Gerät aus, auf dem ESET SysRescue installiert werden soll. Warnung: Das ausgewählte USB-Gerät wird beim Erstellen von ESET SysRescue formatiert. Alle vorher auf dem Gerät gespeicherten Daten gehen dabei verloren. Wenn Sie die Option Schnellformatierung wählen, werden alle Dateien von der Partition entfernt, das Laufwerk wird aber nicht auf beschädigte Sektoren geprüft. Verwenden Sie diese Option nur, wenn Ihr USB-Gerät schon einmal formatiert wurde und Sie sicher sind, dass es nicht beschädigt ist Brennen Wenn CD/DVD als Zielmedium ausgewählt ist, können Sie zusätzliche Brennparameter auf der Registerkarte Brennen angeben. ISO-Datei löschen - Aktivieren Sie diese Option, um die temporäre ISO-Datei nach dem Erstellen der ESET SysRescue- CD zu löschen. Löschen aktiviert - Sie können zwischen schnellem Löschen und vollständigem Löschen auswählen. Brennerlaufwerk - Wählen Sie das Laufwerk zum Brennen aus. Warnung: Dies ist die Voreinstellung. Falls Sie eine wiederbeschreibbare CD/DVD verwenden, werden alle zuvor darauf gespeicherten Daten gelöscht. Der Bereich Medium enthält Informationen über das aktuell in Ihrem CD-/DVD-Laufwerk eingelegte Medium. Schreibgeschwindigkeit - Wählen Sie die gewünschte Geschwindigkeit in der Liste aus. Berücksichtigen Sie dabei die Fähigkeiten Ihres Brenners und den Typ des CD-/DVD-Rohlings Die Arbeit mit ESET SysRescue Damit die Rettungs-CD (bzw. -DVD/-USB) wie erwartet funktioniert, müssen Sie Ihren Computer vom ESET SysRescue- Bootmedium starten. Die Bootpriorität kann im BIOS geändert werden. Alternativ können Sie während des Computerstarts auch das Bootmenü aufrufen. Hierzu wird abhängig von Ihrer Motherboard-/BIOS-Variante üblicherweise eine der Tasten F9-F12 verwendet. Nach dem Hochfahren über das Bootmedium wird ESET File Security gestartet. Da ESET SysRescue nur in bestimmten Situationen verwendet wird, sind manche Schutzmodule und Programmfunktionen nicht erforderlich, die bei ESET File Security normalerweise fester Bestandteil sind. Die Liste wird auf Computer prüfen, Update und einige Bereiche in Einstellungen begrenzt. Die Aktualisierung der Signaturdatenbank ist die wichtigste Funktion von ESET SysRescue. Wir empfehlen Ihnen, das Programm vor dem Start einer Prüfung des Computers zu aktualisieren Verwenden des ESET SysRescue-Mediums Nehmen wir einmal an, dass Computer im Netzwerk mit einem Virus infiziert wurden, der ausführbare Dateien (.exe) manipuliert. ESET File Security ist in der Lage, alle infizierten Dateien zu bereinigen, ausgenommen die Datei explorer.exe, die selbst im abgesicherten Modus nicht bereinigt werden kann. Dies liegt daran, dass explorer.exe als einer der grundlegenden Windows-Prozesse auch im abgesicherten Modus gestartet wird. ESET File Security kann bei dieser Datei keine Aktion ausführen, sodass sie infiziert bleibt. In einer solchen Situation können Sie ESET SysRescue verwenden, um das Problem zu lösen. ESET SysRescue benötigt keine Komponenten des Host-Betriebssystems. Deshalb kann es alle Dateien der Festplatte verarbeiten (bereinigen, löschen). 71

72 4.9 Benutzeroberfläche Über die Konfigurationsoptionen für die Benutzeroberfläche von ESET File Security können Sie die Arbeitsumgebung an Ihre Anforderungen anpassen. Sie erreichen diese Optionen unter Benutzeroberfläche in den erweiterten Einstellungen von ESET File Security. Im Bereich Elemente der Benutzeroberfläche können Sie mit der Option Erweiterter Modus in den erweiterten Modus wechseln. Hier werden erweiterte Einstellungen und zusätzliche Steuerelemente für ESET File Security angezeigt. Die Option Grafische Benutzeroberfläche sollte deaktiviert werden, wenn durch die grafischen Elemente die Leistung Ihres Computers beeinträchtigt wird oder andere Probleme auftreten. Die grafische Oberfläche sollte ebenso für sehbehinderte Personen deaktiviert werden, da Konflikte mit Spezialanwendungen zum Vorlesen von Text auf dem Bildschirm auftreten können. Wenn Sie die Anzeige des Startbilds von ESET File Security deaktivieren möchten, deaktivieren Sie das Kontrollkästchen Startbild anzeigen. Oben im Hauptprogrammfenster von ESET File Security befindet sich ein Standardmenü, das über die Option Standardmenü verwenden aktiviert oder deaktiviert werden kann. Wenn die Option QuickInfo anzeigen aktiviert ist, wird eine kurze Beschreibung angezeigt, wenn der Mauszeiger sich auf einer Option befindet. Durch Aktivieren der Option Aktives Steuerelement auswählen wird jedes Element hervorgehoben, das sich gerade im aktiven Bereich des Mauszeigers befindet. Mit einem Klick wird das hervorgehobene Element aktiviert. Um die Geschwindigkeit von Animationen zu erhöhen oder zu senken, aktivieren Sie die Option Animierte Steuerelemente verwenden und ziehen Sie den Schieberegler für die Geschwindigkeit nach links oder rechts. Um bei der Ausführung verschiedener Vorgänge animierte Symbole anzuzeigen, aktivieren Sie die Option Animierte Symbole für Fortschrittsanzeige verwenden. Wenn das Programm bei wichtigen Ereignissen einen Warnton ausgeben soll, aktivieren Sie die Option Hinweistöne wiedergeben. Zu den Funktionen der Benutzeroberfläche zählt auch die Option, die Einstellungen von ESET File Security mit einem Passwort zu schützen. Sie befindet sich im Untermenü Einstellungen schützen im Bereich Benutzeroberfläche. Maßgeblich für einen wirksamen Schutz Ihres Systems sind die korrekten Einstellungen des Programms. Bei unzulässigen Änderungen können wichtige Daten verloren gehen. Klicken Sie auf Passwort festlegen, um ein Passwort für den Schutz der Einstellungen anzugeben. 72

73 4.9.1 Warnungen und Hinweise Unter Einstellungen für Warnungen und Hinweise im Bereich Benutzeroberfläche können Sie festlegen, wie ESET File Security mit Bedrohungswarnungen und Systemmeldungen umgehen soll. Die erste Option ist Warnungen anzeigen. Bei Deaktivieren dieser Option werden keine Warnmeldungen mehr angezeigt. Diese Einstellung eignet sich nur in einigen speziellen Situationen. Für die meisten Benutzer empfiehlt es sich, die Standardeinstellung (aktiviert) beizubehalten. Wenn Popup-Fenster nach einer bestimmten Zeit automatisch geschlossen werden sollen, aktivieren Sie die Option Fenster mit Hinweisen schließen nach (Sek.). Die Hinweise werden nach Ablauf der festgelegten Zeit automatisch geschlossen, sofern sie nicht bereits vom Benutzer geschlossen wurden. Hinweise auf dem Desktop und Sprechblasen dienen ausschließlich zu Informationszwecken; Eingaben des Benutzer sind weder möglich noch erforderlich. Sie werden im Infobereich der Taskleiste rechts unten auf dem Bildschirm angezeigt. Zum Aktivieren der Anzeige von Desktophinweisen aktivieren Sie die Option Hinweise auf dem Desktop anzeigen. Weitere Optionen, wie Anzeigedauer und Transparenz, lassen sich einstellen, indem Sie auf Einstellungen klicken. Um eine Vorschau des Verhaltens von Hinweisen zu erhalten, klicken Sie auf Vorschau. Die Anzeigedauer von Sprechblasen lässt sich über die Option Sprechblasen in der Taskleiste anzeigen (Sek.) einstellen. 73

74 Klicken Sie auf Erweiterte Einstellungen, um zu zusätzlichen Einstellungen für Warnungen und Hinweise zu gelangen, darunter z. B. die Option Nur Hinweise anzeigen, die ein Eingreifen des Benutzers erfordern. Hiermit können Sie die Anzeige von Meldungen, die keine Benutzerinteraktion erfordern, aktivieren bzw. deaktivieren. Wählen Sie Hinweise, die ein Eingreifen des Benutzers erfordern, nur anzeigen, wenn Anwendungen im Vollbildmodus laufen, um alle Hinweise zu unterdrücken, die kein Eingreifen erfordern. Aus der Liste Mindestinformationen anzuzeigender Ereignisse können Sie den niedrigsten Schweregrad der anzuzeigenden Warnungen und Hinweise wählen. Der letzte Eintrag in diesem Bereich gibt Ihnen die Möglichkeit, die Ausgabe für Meldungen in einer Mehrbenutzerumgebung zu konfigurieren. Im Feld Auf Mehrbenutzersystemen Meldungen auf Bildschirm folgenden Benutzers ausgeben: können Sie festlegen, welcher Benutzer wichtige Hinweise von ESET File Security erhalten soll. Gewöhnlich sind dies System- oder Netzwerkadministratoren. Besonders sinnvoll ist diese Option bei Terminalservern, vorausgesetzt alle Systemmeldungen werden an den Administrator gesendet Deaktivieren der Benutzeroberfläche auf Terminalserver In diesem Kapitel wird beschrieben, wie Sie die grafische Benutzeroberfläche von ESET File Security für Benutzersitzungen deaktivieren können, wenn das Produkt auf einem Windows-Terminalserver läuft. Die Benutzeroberfläche von ESET File Security wird bei jeder Anmeldung eines Remote-Benutzers auf dem Terminalserver gestartet. Für gewöhnlich ist dies auf Terminalservern nicht erwünscht. Führen Sie die folgenden Schritte aus, um die Benutzeroberfläche für Terminaldienste-Sitzungen zu deaktivieren: 1. Führen Sie regedit.exe aus 2. Öffnen Sie HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 3. Klicken Sie mit der rechten Maustaste auf egui und wählen Sie Ändern. 4. Fügen Sie den Parameter /terminal zum bestehenden String hinzu Beispiel für den korrekten Wert von egui: C:\Programme\ESET\ESET File Security\egui.exe /hide /waitservice /terminal Wenn Sie diese Einstellung zurücksetzen und damit den automatischen Start der ESET File Security-Benutzeroberfläche aktivieren möchten, entfernen Sie den /terminal -Parameter. Wiederholen Sie die Schritte 1 bis 3, um den Registrierungswert von egui wiederherzustellen. 74

75 4.10 eshell eshell (Abkürzung für ESET Shell) ist eine Kommandozeilen-Schnittstelle für ESET File Security. Es handelt sich dabei um eine Alternative zur grafischen Benutzeroberfläche (GUI). Über eshell haben Sie Zugriff auf alle Funktionen und Optionen, die Ihnen sonst über die Benutzeroberfläche zur Verfügung stehen. Mit eshell können Sie ohne die GUI das gesamte Programm konfigurieren und verwalten. eshell bietet Ihnen praktisch alle Handlungsmöglichkeiten der normalen Benutzeroberfläche. Neben der Bereitstellung aller Funktionen und Optionen, die über die Benutzeroberfläche steuerbar sind, bietet die Kommandozeile auch die Möglichkeit, Prozesse durch Skripte zu automatisieren. Mit ihnen können Sie das Programm konfigurieren, Änderungen vornehmen und Aktionen ausführen. Des Weiteren kann eshell für jene Benutzer attraktiv sein, die die Kommandozeile generell der Benutzeroberfläche vorziehen. In diesem Abschnitt wird erklärt, wie und wofür Sie eshell verwenden können. Außerdem werden alle Befehle samt einer Beschreibung aufgelistet, wann sie verwendet werden und was sie bewirken. eshell kann in den folgenden beiden Modi ausgeführt werden: Interaktiver Modus - Dieser Modus eignet sich, wenn Sie umfassend mit eshell arbeiten möchten (also nicht nur einen einzelnen Befehl ausführen), z. B. beim Ändern der Konfiguration oder Anzeigen von Log-Dateien. Der interaktive Modus bietet sich auch an, wenn Sie noch nicht mit allen Befehlen vertraut sind. Der interaktive Modus erleichtert die Navigation durch den Kontext. In diesem Modus werden auch die im jeweiligen Kontext verfügbaren Befehle angezeigt. Einzelbefehl-/Batch-Modus - Dieser Modus ermöglicht Ihnen die Ausführung eines Befehls, ohne dass Sie den interaktiven Modus von eshell aktivieren müssen. Geben Sie im Fenster der Windows-Eingabeaufforderung den Befehl eshell mit den entsprechenden Parametern ein. Beispiel: eshell set av document status enabled HINWEIS: Um eshell-befehle über die Windows-Eingabeaufforderung einzugeben oder Batch-Dateien auszuführen, muss diese Funktion aktiviert sein. (Der Befehl set general access batch muss im interaktiven Modus ausgeführt werden.) Weitere Informationen zum Befehl set batch finden Sie hier. Den interaktiven eshell-modus können Sie auf zwei Arten aktivieren: Über das Windows-Startmenü: Start > Alle Programme > ESET > ESET File Security > ESET Shell Über die Windows-Eingabeaufforderung: Geben Sie eshell ein und drücken Sie die Eingabetaste Wenn Sie eshell zum ersten Mal im interaktiven Modus ausführen, wird ein Willkommensbildschirm angezeigt. Darin werden Ihnen ein paar einfache Beispiele für die Verwendung von eshell sowie Informationen zu Syntax, Präfixen, Befehlspfaden, Abkürzungen, Aliasnamen usw. angezeigt. Es handelt sich also um eine kurze Einführung in eshell. HINWEIS: Wenn Sie diesen Bildschirm später erneut aufrufen möchten, geben Sie den Befehl guide ein. HINWEIS: Bei der Befehlseingabe müssen Sie nicht auf Groß- und Kleinschreibung achten. Der Befehl wird unabhängig davon ausgeführt, ob Sie Groß- oder Kleinbuchstaben verwenden. 75

76 Verwendung Syntax Zeigt an, wie ein Befehl aufgebaut ist. Die Syntax legt fest, wo Präfix, Kontext, Argumente, Optionen usw. platziert werden müssen. Die in eshell verwendete Syntax hat allgemein das folgende Format: [<Präfix>] [<Befehlspfad>] <Befehl> [<Argumente>] Beispiel (aktiviert den Dokumentenschutz): SET AV DOCUMENT STATUS ENABLED SET - Ein Präfix AV DOCUMENT - Pfad zu einem bestimmten Befehl, also der Kontext des Befehls STATUS - Ein Befehl ENABLED - Ein Argument für den Befehl Mit HELP oder? und einem Befehl wird die Syntax dieses bestimmten Befehls angezeigt. Beispiel: CLEANLEVEL HELP zeigt die Syntax des Befehls CLEANLEVEL an: [get] restore cleanlevel set cleanlevel none normal strict Beachten Sie, dass [get] in Klammern steht. Dies bedeutet, dass das Präfix get das Standardpräfix für den Befehl cleanlevel ist. Wird also dem Befehl cleanlevel kein bestimmtes Präfix zugewiesen, wird das Standardpräfix verwendet (in diesem Fall get cleanlevel). Wenn Sie das Präfix weglassen, sparen Sie Zeit beim Eingeben von Befehlen. In der Regel ist das Präfix get das Standardpräfix der meisten Befehle. Dennoch sollten Sie das Standardpräfix des jeweiligen Befehls kennen und sich sicher sein, dass Sie ihn so ausführen möchten. HINWEIS: Bei der Befehlseingabe müssen Sie nicht auf Groß- und Kleinschreibung achten. Der Befehl wird unabhängig davon ausgeführt, ob Sie Groß- oder Kleinbuchstaben verwenden. Präfix / Vorgang Hierbei handelt es sich um einen Vorgang. Zum Beispiel kann das Präfix GET die Konfiguration einer bestimmten ESET File Security-Funktion oder einen Status anzeigen (z. B. zeigt GET AV STATUS den aktuellen Schutzstatus an). Dagegen konfiguriert SET die Funktion bzw. ändert ihren Status (SET AV STATUS ENABLED aktiviert den Schutz). Sie können in eshell die folgenden Präfixe verwenden. Beachten Sie jedoch, dass nicht alle Präfixe von allen Befehlen unterstützt werden: GET - Aktuelle Einstellung/Status zurückgeben SET - Wert/Status festlegen SELECT - Element auswählen ADD - Element hinzufügen REMOVE - Element entfernen CLEAR - Alle Elemente/Dateien entfernen START - Aktion starten STOP - Aktion beenden PAUSE - Aktion anhalten RESUME - Aktion fortsetzen RESTORE - Standardeinstellungen/-objekt/-datei wiederherstellen SEND - Objekt/Datei senden IMPORT - Aus Datei importieren EXPORT - In Datei exportieren Präfixe wie GET und SET werden für viele, aber nicht alle Befehle verwendet. Der Befehl EXIT braucht zum Beispiel kein Präfix. Befehlspfad / Kontext Befehle sind in einen hierarchisch aufgebauten Kontext eingebettet. Die höchste Ebene bildet der Kontext root. Beim Start von eshell befinden Sie sich also auf der Root-Ebene. eshell> Hier können Sie entweder einen Befehl ausführen oder den Kontextnamen eingeben, um auf die entsprechende Ebene zu gelangen. Wenn Sie zum Beispiel den Kontext TOOLS eingeben, werden alle dort verfügbaren Befehle und untergeordneten Kontexte aufgelistet. 76

77 Gelb steht für ausführbare Befehle und Grau für auswählbare untergordnete Kontexte. Ein untergeordneter Kontext enthält weitere Befehle. Wenn Sie auf eine höhere Ebene zurückkehren möchten, geben Sie.. ein (zwei Punke). Nehmen wir beispielsweise an, Sie befinden sich hier: eshell av options> Geben Sie.. ein und Sie gelangen auf die nächsthöhere Ebene, nämlich: eshell av> Wenn Sie dagegen von eshell av options> wieder die zwei Ebenen zur Root-Ebene hochgehen möchten, geben Sie.... ein (zwei Punkte, Leerzeichen, zwei Punkte). So gelangen Sie zwei Ebenen höher (in diesem Fall zur Root-Ebene). Diese Vorgehensweise ist auf jeder Ebene der Kontexthierarchie möglich. Die entsprechende Anzahl an.. bringt Sie auf die gewünschte Ebene. Der Pfad ist relativ zum aktuellen Kontext. Geben Sie den Pfad nicht ein, wenn der Befehl im aktuellen Kontext aufgerufen wird. Um zum Beispiel GET AV STATUS auszuführen, geben Sie ein: GET AV STATUS - wenn Sie sich im Root-Kontext befinden (Kommandozeile zeigt an: eshell>) GET STATUS - wenn Sie sich im Kontext AV befinden (Kommandozeile zeigt an: eshell av>).. GET STATUS - wenn Sie sich im Kontext AV OPTIONS befinden (Kommandozeile zeigt an: eshell av options>) Argument Ein Argument ist eine Aktion, die für einen bestimmten Befehl ausgeführt wird. Der Befehl CLEANLEVEL beispielsweise kann mit folgenden Argumenten verwendet werden: none - Schadcode nicht entfernen normal - Normales Säubern strict - Immer versuchen, automatisch zu entfernen Weitere Beispiele sind die Argumente ENABLED oder DISABLED zur Aktivierung/Deaktivierung einer bestimmten Option oder Funktion. Kurzformen In eshell können Sie Kontexte, Befehle und Argumente abkürzen (falls es sich bei dem Argument um einen Switch oder eine alternative Option handelt). Die Abkürzung eines Präfixes oder eines Arguments in Form eines konkreten Wertes (z. B. Nummer, Name oder Pfad) ist nicht möglich. Beispiele für die Kurzform: set status enabled => set stat en add av exclusions C:\Pfad\Datei.erw => add av exc C:\Pfad\Datei.erw 77

78 Wenn zwei Befehle oder Kontexte gleich beginnen - z. B. ABOUT und AV - und Sie wählen A als verkürzte Befehlsform, kann eshell nicht bestimmen, welchen der beiden Befehle Sie ausführen möchten. Es werden dann eine Fehlermeldung und eine Liste der verfügbaren Befehle mit dem Anfangsbuchstaben A angezeigt: eshell>a Der folgende Befehl ist nicht eindeutig: a In diesem Kontext sind die folgenden Befehle verfügbar: ABOUT - Informationen über das Programm anzeigen AV - Zum Kontext av wechseln Das Hinzufügen von mindestens einem Buchstaben (z. B. AB anstelle von A) hat zur Folge, dass eshell den Befehl ABOUT ausführt, da die Abkürzung nun eindeutig ist. HINWEIS: Um die korrekte Ausführung des Befehls sicherzustellen, wird empfohlen, Befehle, Argumente usw. nicht abzukürzen, sondern vollständig anzugeben. Auf diese Weise erfolgt die Ausführung wie von Ihnen gewünscht und unerwünschte Fehler werden vermieden. Dies betrifft vor allem Batch-Dateien und Skripte. Aliasnamen Ein Alias ist ein alternativer Name, um einen Befehl auszuführen (vorausgesetzt, dass diesem Befehl ein Alias zugewiesen wurde). Dies sind die Standard-Aliasnamen: (global) help -? (global) close - exit (global) quit - exit (global) bye - exit warnlog - tools log events virlog - tools log detections Mit (global) wird angezeigt, dass der Befehl kontextunabhängig verwendet werden kann. Einem Befehl können mehrere Aliasnamen zugewiesen werden. So hat der Befehl EXIT z. B. die Aliasnamen CLOSE, QUIT und BYE. Wenn Sie eshell beenden möchten, können Sie den Befehl EXIT oder einen seiner Aliasnamen verwenden. Das Alias VIRLOG bezieht sich auf den Befehl DETECTIONS im Kontext TOOLS LOG. Mit diesem Alias ist der Befehl im Kontext ROOT verfügbar und so leichter erreichbar (Sie müssen nicht erst in die Kontexte TOOLS und dann LOG wechseln, sondern starten den Befehl direkt in ROOT). Mit eshell können Sie eigene Aliasnamen festlegen. Hier wird die Vorgehensweise beschrieben. Geschützte Befehle Einige Befehle sind passwortgeschützt und können nur nach der Eingabe eines Passworts ausgeführt werden. Hier erfahren Sie mehr über passwortgeschützte Befehle. Benutzungshinweise Beim Ausführen des Befehls GUIDE wird ein Bildschirm mit Benutzungshinweisen für eshell angezeigt. Dieser Befehl wird im Kontext ROOT aufgerufen (eshell>). Hilfe Wird der Befehl HELP ohne Zusätze verwendet, werden alle im aktuellen Kontext verfügbaren Befehle samt Präfixen sowie die Unterkontexte angezeigt. Ebenso wird jeder Befehl/Unterkontext kurz beschrieben. Wenn Sie HELP in Verbindung mit einem bestimmten Befehl als Argument verwenden (z. B. CLEANLEVEL HELP), werden die Informationen zu diesem Befehl angezeigt. Dabei handelt es sich um SYNTAX, VORGÄNGE, ARGUMENTE und ALIASNAMEN des Befehls sowie eine kurze Beschreibung jeder Information. Befehlsverlauf eshell speichert einen Verlauf der bereits ausgeführten Befehle. Gespeichert werden aber nur die Befehle der aktuellen interaktiven eshell-sitzung. Wenn Sie eshell beenden, wird der Befehlsverlauf gelöscht. Mit den Pfeiltasten Auf und Ab können Sie durch den Verlauf blättern. Wenn Sie den gesuchten Befehl gefunden haben, können Sie ihn erneut ausführen oder ändern, ohne den gesamten Befehl erneut eingeben zu müssen. CLS / Bildschirm löschen Der Befehl CLS wird verwendet, um den Bildschirm zu löschen. Der Befehl funktioniert genauso wie über die Windows- Eingabeaufforderung oder ein ähnliches Kommandozeilenprogramm. EXIT / CLOSE / QUIT / BYE Zum Schließen oder Beenden von eshell stehen Ihnen diese vier Befehle zur Verfügung (EXIT, CLOSE, QUIT oder BYE). 78

79 Befehle In diesem Abschnitt werden alle verfügbaren eshell-befehle und die jeweilige Beschreibung aufgelistet. HINWEIS: Bei der Befehlseingabe müssen Sie nicht auf Groß- und Kleinschreibung achten. Der Befehl wird unabhängig davon ausgeführt, ob Sie Groß- oder Kleinbuchstaben verwenden. Befehle im Kontext ROOT: ABOUT Zeigt Programminformationen an. Die Liste umfasst den Namen des installierten Produkts, die Versionsnummer, installierte Komponenten (und die jeweilige Versionsnummer) sowie grundlegende Informationen zum Server und dem Betriebssystem, auf dem ESET File Security ausgeführt wird. KONTEXTPFAD: root BATCH Startet den Batch-Modus von eshell. Dieser Modus eignet sich für die Nutzung aus Batch-Dateien/Skripten. Geben Sie START BATCH als ersten Befehl in die Batch-Datei oder das Skript ein, um den Batch-Modus zu aktivieren. Wenn dieser Modus aktiv ist, werden Sie nicht zu Eingaben aufgefordert (z. B. der eines Passworts) und fehlende Argumente werden durch Standardargumente ersetzt. Auf diese Weise wird die Ausführung der Batch-Datei nicht plötzlich gestoppt, weil eshell den Benutzer zu einer Eingabe auffordert. Stattdessen wird die Batch-Datei ohne Unterbrechung ausgeführt (es sei denn, ein Fehler tritt auf oder die Befehle in der Batch-Datei sind nicht korrekt). KONTEXTPFAD: root [start] batch start - Startet eshell im Batch-Modus KONTEXTPFAD: root BEISPIELE: start batch - Startet den Batch-Modus von eshell CONNECT Stellt eine Verbindung zum ESET-Kernel her. KONTEXTPFAD: root GUIDE Zeigt den Willkommensbildschirm an. KONTEXTPFAD: root PASSWORD Wenn Sie passwortgeschützte Befehle ausführen möchten, werden Sie in der Regel aufgefordert, ein Passwort einzugeben. Dies ist eine Sicherheitsmaßnahme. Sie betrifft Befehle, die zum Beispiel die Deaktivierung des Virenschutzes zur Folge haben oder die Funktion von ESET File Security beeinflussen könnten. Jedes Mal, wenn ein solcher Befehl ausgeführt werden soll, muss das Passwort eingegeben werden. Um das Passwort nicht jedes Mal selbst eingeben zu müssen, können Sie es festlegen. eshell ruft das Passwort dann automatisch ab, wenn ein passwortgeschützter Befehl ausgeführt werden soll. Auf diese Weise müssen Sie das Passwort nicht jedes Mal eigenhändig eingeben. 79

80 HINWEIS: Das festgelegte Passwort gilt nur für die aktuelle eshell-sitzung im interaktiven Modus. Wenn Sie eshell beenden, wird das festgelegte Passwort gelöscht. Für die nächste Ausführung von eshell müssen Sie das Passwort erneut festlegen. Das festgelegte Passwort ist auch bei der Ausführung von Batch-Dateien/Skripten von Nutzen. Hier ein Beispiel für eine solche Batch-Datei: eshell start batch "&" set password plain <IhrPasswort> "&" set status disabled Dieser verkettete Befehl startet den Batch-Modus, legt das Passwort fest und deaktiviert den Schutz. KONTEXTPFAD: root [get] restore password set password [plain <Passwort>] get - Passwort anzeigen set - Passwort speichern oder löschen restore - Passwort löschen plain - Passwort als Parameter eingeben Passwort - Passwort BEISPIELE: set password plain <IhrPasswort> - Legt das Passwort für passwortgeschützte Befehle fest restore password - Löscht das Passwort BEISPIELE: get password - Mit diesem Befehl können Sie überprüfen, ob ein Passwort konfiguriert wurde. Es werden nur * (Sternchen) angezeigt, nicht das eigentliche Passwort. Werden keine Sternchen angezeigt, so wurde auch kein Passwort festgelegt. set password plain <IhrPasswort> - Festgelegtes Passwort speichern restore password - Festgelegtes Passwort löschen STATUS Anzeige des aktuellen Schutzstatus von ESET File Security (wie auf der Benutzeroberfläche) KONTEXTPFAD: root [get] restore status set status disabled enabled get - Status des Virenschutzes anzeigen set - Virenschutz deaktivieren/aktivieren restore - Standardeinstellungen wiederherstellen disabled - Virenschutz deaktivieren 80

81 enabled - Virenschutz aktivieren BEISPIELE: get status - Aktuellen Schutzstatus anzeigen set status disabled - Schutz deaktivieren restore status - Standard-Schutzeinstellung wiederherstellen (aktiviert) VIRLOG Dies ist ein Aliasbefehl für DETECTIONS. Er eignet sich, wenn Sie sich Informationen zu erkannter eingedrungener Schadsoftware anzeigen lassen wollen. Hier finden Sie weitere Informationen zu diesem Befehl und seiner Verwendung. WARNLOG Dies ist ein Aliasbefehl für EVENTS. Er eignet sich, wenn Sie sich Informationen zu verschiedenen Ereignissen anzeigen lassen wollen. Hier finden Sie weitere Informationen zu diesem Befehl und seiner Verwendung Kontext - AV ANTISTEALTH Anti-Stealth-Technologie aktivieren. [get] restore antistealth set antistealth disabled enabled CLEANLEVEL Säuberungsstufe. [get] restore cleanlevel set cleanlevel none normal strict none - Schadcode nicht entfernen normal - Normales Säubern strict - Immer versuchen, automatisch zu entfernen EXCLUSIONS Ausschlussfilter. 81

82 [get] clear exclusions add remove exclusions <Ausschlussfilter> add - Element hinzufügen remove - Element entfernen Ausschlussfilter - Auszuschließende/r Datei/Ordner/Maske EXTENSIONS Geprüfte/ausgeschlossene Erweiterungen. [get] restore extensions add remove extensions <Erweiterung> /all /extless add - Element hinzufügen remove - Element entfernen Erweiterung - Erweiterung all - Alle Dateien extless - Dateien ohne Erweitung RESTART Startet den ESET-Kernel neu. restart SELFDEFENSE Self-Defense-Funktion (Selbstschutz). [get] restore selfdefense set selfdefense disabled enabled 82

83 STATUS Status des Virenschutzes. [get] restore status set status disabled enabled get - Status des Virenschutzes anzeigen set - Virenschutz deaktivieren/aktivieren disabled - Virenschutz deaktivieren enabled - Virenschutz aktivieren Kontext - AV DOCUMENT CLEANLEVEL Säuberungsstufe. [get] restore cleanlevel set cleanlevel none normal strict none - Schadcode nicht entfernen normal - Normales Säubern strict - Immer versuchen, automatisch zu entfernen EXTENSIONS Geprüfte/ausgeschlossene Erweiterungen. [get] restore extensions add remove extensions <Erweiterung> /all /extless add - Element hinzufügen remove - Element entfernen Erweiterung - Erweiterung 83

84 all - Alle Dateien extless - Dateien ohne Erweitung INTEGRATION Dokumentenschutz in des System integrieren. [get] restore integration set integration disabled enabled STATUS Aktueller Status des Dokumentenschutzes. [get] restore status set status disabled enabled Kontext - AV DOCUMENT LIMITS ARCHIVE LEVEL Verschachtelungstiefe bei Archiven. [get] restore level set level <Zahlenwert> Zahlenwert - Suchtiefe von 1 bis 20 bzw. 0 für Standardeinstellungen SIZE 84

85 Maximalgröße von Dateien im Archiv (Kilobyte). [get] restore size set size <Zahlenwert> Zahlenwert - Größe in KB oder 0 für Standardeinstellungen Kontext - AV DOCUMENT LIMITS OBJECTS SIZE Max. Archivgröße (KB) [get] restore size set size <Zahlenwert> Zahlenwert - Größe in KB oder 0 für Standardeinstellungen TIMEOUT Maximale Prüfzeit pro Archiv (Sek.) [get] restore timeout set timeout <Zahlenwert> Zahlenwert - Zeit in Sekunden oder 0 für Standardeinstellungen 85

86 Kontext - AV DOCUMENT OBJECTS ARCHIVE Archive prüfen. [get] restore archive set archive disabled enabled BOOT Bootsektoren prüfen. [get] restore boot set boot disabled enabled -Dateien prüfen. [get] restore set disabled enabled FILE Dateien prüfen. 86

87 [get] restore file set file disabled enabled MEMORY Arbeitsspeicher prüfen. [get] restore memory set memory disabled enabled RUNTIME Laufzeitkomprimierte Dateien prüfen. [get] restore runtime set runtime disabled enabled SFX Selbstentpackende Archive prüfen. [get] restore sfx set sfx disabled enabled 87

88 Kontext - AV DOCUMENT OPTIONS ADVHEURISTICS Advanced Heuristik verwenden. [get] restore advheuristics set advheuristics disabled enabled ADWARE Erkennung von Adware/Spyware/Riskware. [get] restore adware set adware disabled enabled HEURISTICS Heuristik verwenden. [get] restore heuristics set heuristics disabled enabled 88

89 SIGNATURES Signaturdatenbank verwenden. [get] restore signatures set signatures disabled enabled UNSAFE Erkennung potenziell unsicherer Anwendungen. [get] restore unsafe set unsafe disabled enabled UNWANTED Erkennung evtl. unerwünschter Anwendungen. [get] restore unwanted set unwanted disabled enabled 89

90 Kontext - AV DOCUMENT OTHER LOGALL Alle Objekte in Log aufnehmen. [get] restore logall set logall disabled enabled OPTIMIZE Smart-Optimierung. [get] restore optimize set optimize disabled enabled Kontext - AV ACTION Aktion für infizierte Nachrichten. [get] restore action set action none delete movedeleted moveto 90

91 none - Keine Aktion delete - Nachricht löschen movedeleted - In den Ordner Gelöschte Objekte verschieben moveto - In den angegebenen Ordner verschieben CLIENTS -Programme. [get] clients add remove clients <Pfad> add - Element hinzufügen remove - Element entfernen Pfad - Pfad der Anwendung HINWEIS: Wenn nur die Anwendung als Filterkriterium dient, müssen Sie angeben, welche Anwendungen - Funktionen bereitstellen. Bei -Programmen ohne Einstufung werden s möglicherweise nicht geprüft. QUARANTINE Ordner für infizierte Nachrichten. [get] restore quarantine set quarantine <Zeichenfolge> Zeichenfolge - Name des Ordners STATUS Status des -Client-Schutzes. [get] restore status set status disabled enabled 91

92 Kontext - AV GENERAL CLEANLEVEL Säuberungsstufe. [get] restore cleanlevel set cleanlevel none normal strict none - Schadcode nicht entfernen normal - Normales Säubern strict - Immer versuchen, automatisch zu entfernen EXTENSIONS Geprüfte/ausgeschlossene Erweiterungen. [get] restore extensions add remove extensions <Erweiterung> /all /extless add - Element hinzufügen remove - Element entfernen Erweiterung - Erweiterung all - Alle Dateien extless - Dateien ohne Erweitung Kontext - AV GENERAL LIMITS ARCHIVE LEVEL Verschachtelungstiefe bei Archiven. [get] restore level set level <Zahlenwert> 92

93 Zahlenwert - Suchtiefe von 1 bis 20 bzw. 0 für Standardeinstellungen SIZE Maximalgröße von Dateien im Archiv (Kilobyte). [get] restore size set size <Zahlenwert> Zahlenwert - Größe in KB oder 0 für Standardeinstellungen Kontext - AV GENERAL LIMITS OBJECTS SIZE Max. Archivgröße (KB). [get] restore size set size <Zahlenwert> Zahlenwert - Größe in KB oder 0 für Standardeinstellungen TIMEOUT Maximale Prüfzeit pro Archiv (Sek.). [get] restore timeout set timeout <Zahlenwert> Zahlenwert - Zeit in Sekunden oder 0 für Standardeinstellungen 93

94 Kontext - AV GENERAL OBJECTS ARCHIVE Archive prüfen. [get] restore archive set archive disabled enabled BOOT Bootsektoren prüfen. [get] restore boot set boot disabled enabled -Dateien prüfen. [get] restore set disabled enabled FILE Dateien prüfen. 94

95 [get] restore file set file disabled enabled MEMORY Arbeitsspeicher prüfen. [get] restore memory set memory disabled enabled RUNTIME Laufzeitkomprimierte Dateien prüfen. [get] restore runtime set runtime disabled enabled SFX Selbstentpackende Archive prüfen. [get] restore sfx set sfx disabled enabled 95

96 Kontext - AV GENERAL OPTIONS ADVHEURISTICS Advanced Heuristik verwenden. [get] restore advheuristics set advheuristics disabled enabled ADWARE Erkennung von Adware/Spyware/Riskware. [get] restore adware set adware disabled enabled HEURISTICS Heuristik verwenden. [get] restore heuristics set heuristics disabled enabled 96

97 SIGNATURES Signaturdatenbank verwenden. [get] restore signatures set signatures disabled enabled UNSAFE Erkennung potenziell unsicherer Anwendungen. [get] restore unsafe set unsafe disabled enabled UNWANTED Erkennung evtl. unerwünschter Anwendungen. [get] restore unwanted set unwanted disabled enabled 97

98 Kontext - AV GENERAL OTHER LOGALL Alle Objekte in Log aufnehmen. [get] restore logall set logall disabled enabled OPTIMIZE Smart-Optimierung. [get] restore optimize set optimize disabled enabled Kontext - AV MESSAGE CONVERT PLAIN -Body in Nur-Text-Format konvertieren. [get] restore plain set plain disabled enabled 98

99 Kontext - AV MODIFY TEMPLATE Text, der zur Betreffzeile infizierter Nachrichten hinzugefügt wird. [get] restore template set template [<Zeichenfolge>] Zeichenfolge - Text Kontext - AV MODIFY RECEIVED BODY Prüfhinweis zu eingehenden/gelesenen s hinzufügen. [get] restore body set body never infected all never - Keinen Hinweis hinzufügen infected - Nur bei infizierten s all - Bei allen Nachrichten SUBJECT Prüfhinweis an den Betreff empfangener/gesendeter infizierter s anhängen. [get] restore subject set subject disabled enabled 99

100 Kontext - AV MODIFY SENT BODY Prüfhinweis zu eingehenden/gelesenen s hinzufügen. [get] restore body set body never infected all never - Keinen Hinweis hinzufügen infected - Nur bei infizierten s all - Bei allen Nachrichten SUBJECT Prüfhinweis an den Betreff empfangener/gesendeter infizierter s anhängen. [get] restore subject set subject disabled enabled Kontext - AV OEXPRESS/WINMAIL INTEGRATION Integration in Outlook Express und Windows Mail. [get] restore integration set integration disabled enabled 100

101 Kontext - AV OUTLOOK FORCEADDIN COM-Addin in älteren Microsoft Outlook-Versionen verwenden. [get] restore forceaddin set forceaddin 2010newer 2007newer allversions 2010newer - Microsoft Outlook 2010 und später 2007newer - Microsoft Outlook 2007 und später allversions - Alle Microsoft Outlook-Versionen INTEGRATION Integration in Microsoft Outlook. [get] restore integration set integration disabled enabled SYNCFIX Probleme bei Microsoft Outlook-Synchronisierung beheben. [get] restore syncfix set syncfix <Zahlenwert> 0 - deaktiviert, 3 - vollständig aktiviert; andere Werte möglich. 101

102 Kontext - AV OUTLOOK RESCAN ONCHANGE Prüfen neuer Elemente im Posteingang deaktivieren. [get] restore onchange set onchange disabled enabled Kontext - AV PROTOCOL POP3 COMPATIBILITY Kompatibilitätseinstellungen. [get] restore compatibility set compatibility compatible both effective compatible - Maximale Kompatibilitätsstufe both - Mittlere Kompatibilitätsstufe effective - Max. Funktionsumfang HINWEIS: Möglicherweise funktioniert im Standardmodus die Integration der POP3-Prüfung mit einigen - Programmen nicht einwandfrei. Mit den folgenden Einstellungen kann die Kompatibilitätsstufe angepasst werden, um mögliche Probleme zu beseitigen. Verbesserte Kompatibilität kann jedoch zur Folge haben, dass nicht alle Funktionen der POP3-Prüfung nutzbar sind. PORTS Portnutzung POP3-Protokoll. [get] restore ports set ports [<Zeichenfolge>] 102

103 Zeichenfolge - Durch Komma voneinander getrennte Portnummern USE POP3-Protokoll prüfen. [get] restore use set use disabled enabled Kontext - AV PROTOCOL POP3S COMPATIBILITY Kompatibilitätseinstellungen. [get] restore compatibility set compatibility compatible both effective compatible - Maximale Kompatibilitätsstufe both - Mittlere Kompatibilitätsstufe effective - Max. Funktionsumfang HINWEIS: Möglicherweise funktioniert im Standardmodus die Integration der POP3S-Prüfung mit einigen - Programmen nicht einwandfrei. Mit den folgenden Einstellungen kann die Kompatibilitätsstufe angepasst werden, um mögliche Probleme zu beseitigen. Verbesserte Kompatibilität kann jedoch zur Folge haben, dass nicht alle Funktionen der POP3-Prüfung nutzbar sind. MODUS POP3S-Filtermodus. [get] restore mode set mode none ports clients 103

104 none - Keine POP3S-Prüfung verwenden ports - POP3S-Protokollprüfung für ausgewählte Ports durchführen clients - POP3S-Protokollprüfung für als -Programme gekennzeichnete Anwendungen durchführen, die ausgewählte Ports verwenden PORTS Portnutzung POP3-Protokoll. [get] restore ports set ports [<Zeichenfolge>] Zeichenfolge - Durch Komma voneinander getrennte Portnummern Kontext - AV RESCAN ONUPDATE Nach Signaturdatenbank-Update s erneut prüfen. [get] restore onupdate set onupdate disabled enabled Kontext - AV SCAN OTHERMODULES Prüfergebnisse von anderen Modulen entgegennehmen. [get] restore othermodules set othermodules disabled enabled 104

105 PLAIN -Body prüfen, wenn Nur-Text-Format. [get] restore plain set plain disabled enabled READ Gelesene Nachrichten prüfen. [get] restore read set read disabled enabled RECEIVED Eingehende Nachrichten prüfen. [get] restore received set received disabled enabled 105

106 RTF -Body prüfen, wenn Rich-Text-Format. [get] restore rtf set rtf disabled enabled SENT Ausgehende Nachrichten prüfen. [get] restore sent set sent disabled enabled Kontext - AV THUNDERBIRD INTEGRATION Integration in Mozilla Thunderbird. [get] restore integration set integration disabled enabled 106

107 Kontext - AV WINLIVE INTEGRATION Integration in Windows Live Mail. [get] restore integration set integration disabled enabled Kontext - AV LIMITS ARCHIVE LEVEL Verschachtelungstiefe bei Archiven. [get] restore level set level <Zahlenwert> Zahlenwert - Suchtiefe von 1 bis 20 bzw. 0 für Standardeinstellungen SIZE Maximalgröße von Dateien im Archiv (Kilobyte). [get] restore size set size <Zahlenwert> Zahlenwert - Größe in KB oder 0 für Standardeinstellungen 107

108 Kontext - AV LIMITS OBJECTS SIZE Max. Archivgröße (KB). [get] restore size set size <Zahlenwert> Zahlenwert - Größe in KB oder 0 für Standardeinstellungen TIMEOUT Maximale Prüfzeit pro Archiv (Sek.). [get] restore timeout set timeout <Zahlenwert> Zahlenwert - Zeit in Sekunden oder 0 für Standardeinstellungen Kontext - AV NETFILTER AUTOSTART Mit HTTP-/POP3-Protokoll übertragene Daten automatisch prüfen. [get] restore autostart set autostart disabled enabled EXCLUDED Von der Protokollprüfung ausgenommene Anwendungen. 108

109 [get] excluded add remove excluded <Pfad> add - Element hinzufügen remove - Element entfernen Pfad - Pfad der Anwendung MODUS Datenverkehr zum Prüfen umleiten [get] restore mode set mode ports application both ports - HTTP- und POP3-Ports Anwendung - Als Webbrowser oder -Programme eingestufte Anwendungen both - Als Webbrowser oder -Programme eingestufte Ports und Anwendungen STATUS Prüfen mit HTTP-/POP3-Protokoll übertragener Daten aktivieren. [get] restore status set status disabled enabled 109

110 Kontext - AV NETFILTER PROTOCOL SSL BLOCKSSL2 Verschlüsselte Kommunikation blockieren, die das obsolete Protokoll SSL v2 verwendet. [get] restore blockssl2 set blockssl2 disabled enabled EXCEPTIONS Erstellte Ausnahmen auf der Basis von Zertifikaten übernehmen. [get] restore exceptions set exceptions disabled enabled MODUS SSL-Filtermodus. [get] restore mode set mode allways ask none allways - SSL-Prüfung immer verwenden ask - Bei noch nicht besuchten Websites Nutzer fragen (unbekannte Zertifikate) none - SSL-Protokoll nicht prüfen 110

111 Kontext - AV NETFILTER PROTOCOL SSL CERTIFICATE ADDTOBROWSERS Bekannten Browsern das Stammzertifikat hinzufügen. [get] restore addtobrowsers set addtobrowsers disabled enabled HINWEIS: Zur ordnungsgemäßen Prüfung SSL-verschlüsselten Datenverkehrs wird dem Speicher vertrauenswürdiger Stammzertifizierungsstellen (VSZS) das Stammzertifikat für ESET, spol. s.r.o., hinzugefügt. EXCLUDED Zertifikate, die nicht geprüft werden. [get] excluded remove excluded <Name> remove - Element entfernen Name - Name des Zertifikats NOTTRUSTED Dem Zertifikat wird nicht vertraut, wenn es ungültig oder beschädigt ist. [get] restore nottrusted set nottrusted ask block ask - Gültigkeit des Zertifikats erfragen block - Kommunikation blockieren, die das Zertifikat verwendet TRUSTED Liste vertrauenswürdiger Zertifikate. 111

112 [get] trusted remove trusted <Name> remove - Element entfernen Name - Name des Zertifikats UNKNOWNROOT Unbekanntes Stammzertifikat - Falls das Zertifikat nicht über den Speicher der VSZS geprüft werden kann. [get] restore unknownroot set unknownroot ask block ask - Gültigkeit des Zertifikats erfragen block - Kommunikation blockieren, die das Zertifikat verwendet Kontext - AV OBJECTS ARCHIVE Archive prüfen. [get] restore archive set archive disabled enabled BOOT Bootsektoren prüfen. [get] restore boot set boot disabled enabled 112

113 -Dateien prüfen. [get] restore set disabled enabled FILE Dateien prüfen. [get] restore file set file disabled enabled MEMORY Arbeitsspeicher prüfen. [get] restore memory set memory disabled enabled 113

114 RUNTIME Laufzeitkomprimierte Dateien prüfen. [get] restore runtime set runtime disabled enabled SFX Selbstentpackende Archive prüfen. [get] restore sfx set sfx disabled enabled Kontext - AV OPTIONS ADVHEURISTICS Advanced Heuristik verwenden. [get] restore advheuristics set advheuristics disabled enabled 114

115 ADWARE Erkennung von Adware/Spyware/Riskware. [get] restore adware set adware disabled enabled HEURISTICS Heuristik verwenden. [get] restore heuristics set heuristics disabled enabled SIGNATURES Signaturdatenbank verwenden. [get] restore signatures set signatures disabled enabled UNSAFE Erkennung potenziell unsicherer Anwendungen. 115

116 [get] restore unsafe set unsafe disabled enabled UNWANTED Erkennung evtl. unerwünschter Anwendungen. [get] restore unwanted set unwanted disabled enabled Kontext - AV OTHER LOGALL Alle Objekte in Log aufnehmen. [get] restore logall set logall disabled enabled OPTIMIZE Smart-Optimierung. [get] restore optimize 116

117 set optimize disabled enabled Kontext - AV REALTIME AUTOSTART Echtzeitschutz automatisch starten. [get] restore autostart set autostart disabled enabled CLEANLEVEL Säuberungsstufe [get] restore cleanlevel set cleanlevel none normal strict none - Schadcode nicht entfernen normal - Normales Säubern strict - Immer versuchen, automatisch zu entfernen EXTENSIONS Geprüfte/ausgeschlossene Erweiterungen. [get] restore extensions add remove extensions <Erweiterung> /all /extless 117

118 add - Element hinzufügen remove - Element entfernen Erweiterung - Erweiterung all - Alle Dateien extless - Dateien ohne Erweitung STATUS Status des Echtzeit-Dateischutzes. [get] restore status set status disabled enabled Kontext - AV REALTIME DISK FLOPPY Wechselmedien prüfen. [get] restore floppy set floppy disabled enabled LOCAL Lokale Laufwerke prüfen. [get] restore local set local disabled enabled 118

119 NETWORK Netzlaufwerke prüfen. [get] restore network set network disabled enabled Kontext - AV REALTIME EVENT CREATE Dateien beim Erstellen prüfen. [get] restore create set create disabled enabled EXECUTE Dateien beim Ausführen prüfen. [get] restore execute set execute disabled enabled 119

120 FLOPPYACCESS Beim Diskettenzugriff prüfen. [get] restore floppyaccess set floppyaccess disabled enabled OPEN Dateien beim Öffnen prüfen. [get] restore open set open disabled enabled SHUTDOWN Beim Herunterfahren des Computers prüfen. [get] restore shutdown set shutdown disabled enabled 120

121 Kontext - AV REALTIME EXECUTABLE ADVHEURISTICS Advanced Heuristik bei Dateiausführung aktivieren. [get] restore advheuristics set advheuristics disabled enabled Kontext - AV REALTIME EXECUTABLE FROMREMOVABLE ADVHEURISTICS Advanced Heuristik bei der Ausführung von Dateien auf Wechselmedien aktivieren. [get] restore advheuristics set advheuristics disabled enabled EXCLUSION Ausgeschlossene USB-Laufwerke. [get] restore exclusion select exclusion none <Laufwerk> all select - Element auswählen 121

122 none - Die Auswahl aller Laufwerke aufheben Laufwerk - Buchstabe des Laufwerks, das aktiviert/deaktiviert werden soll all - Alle Laufwerke auswählen HINWEIS: Verwenden Sie diese Option, um Ausnahmen für die Prüfung mit der Advanced Heuristik bei Dateiausführung festzulegen. Die Festplatteneinstellungen für Advanced Heuristik werden auf die ausgewählten Geräte angewandt Kontext - AV REALTIME LIMITS ARCHIVE LEVEL Verschachtelungstiefe bei Archiven. [get] restore level set level <Zahlenwert> Zahlenwert - Suchtiefe von 1 bis 20 bzw. 0 für Standardeinstellungen SIZE Maximalgröße von Dateien im Archiv (Kilobyte). [get] restore size set size <Zahlenwert> Zahlenwert - Größe in KB oder 0 für Standardeinstellungen Kontext - AV REALTIME LIMITS OBJECTS SIZE Max. Archivgröße (KB). [get] restore size set size <Zahlenwert> 122

123 Zahlenwert - Größe in KB oder 0 für Standardeinstellungen TIMEOUT Maximale Prüfzeit pro Archiv (Sek.). [get] restore timeout set timeout <Zahlenwert> Zahlenwert - Zeit in Sekunden oder 0 für Standardeinstellungen Kontext - AV REALTIME OBJECTS ARCHIVE Archive prüfen. [get] restore archive set archive disabled enabled BOOT Bootsektoren prüfen. [get] restore boot set boot disabled enabled 123

124 -Dateien prüfen. [get] restore set disabled enabled FILE Dateien prüfen. [get] restore file set file disabled enabled MEMORY Arbeitsspeicher prüfen. [get] restore memory set memory disabled enabled RUNTIME Laufzeitkomprimierte Dateien prüfen. [get] restore runtime 124

125 set runtime disabled enabled SFX Selbstentpackende Archive prüfen. [get] restore sfx set sfx disabled enabled Kontext - AV REALTIME ONWRITE ADVHEURISTICS Advanced Heuristik für neue und geänderte Dateien aktivieren. [get] restore advheuristics set advheuristics disabled enabled RUNTIME Neue und geänderte laufzeitkomprimierte Dateien prüfen. [get] restore runtime set runtime disabled enabled 125

126 SFX Neue und geänderte selbstentpackende Archive prüfen. [get] restore sfx set sfx disabled enabled Kontext - AV REALTIME ONWRITE ARCHIVE LEVEL Verschachtelungstiefe bei Archiven. [get] restore level set level <Zahlenwert> Zahlenwert - Suchtiefe (0-20) SIZE Maximalgröße von Dateien im Archiv (Kilobyte). [get] restore size set size <Zahlenwert> 126

127 Zahlenwert - Größe (KB) Kontext - AV REALTIME OPTIONS ADVHEURISTICS Advanced Heuristik verwenden. [get] restore advheuristics set advheuristics disabled enabled ADWARE Erkennung von Adware/Spyware/Riskware. [get] restore adware set adware disabled enabled HEURISTICS Heuristik verwenden. [get] restore heuristics set heuristics disabled enabled 127

128 SIGNATURES Signaturdatenbank verwenden. [get] restore signatures set signatures disabled enabled UNSAFE Erkennung potenziell unsicherer Anwendungen. [get] restore unsafe set unsafe disabled enabled UNWANTED Erkennung evtl. unerwünschter Anwendungen. [get] restore unwanted set unwanted disabled enabled 128

129 Kontext - AV REALTIME OTHER LOGALL Alle Objekte in Log aufnehmen. [get] restore logall set logall disabled enabled OPTIMIZE Smart-Optimierung. [get] restore optimize set optimize disabled enabled Kontext - AV REALTIME REMOVABLE BLOCK Wechselmedien sperren. [get] restore block set block disabled enabled 129

130 EXCLUSION Zugelassene Wechselmedien. [get] restore exclusion select exclusion none <Laufwerk> all select - Element auswählen none - Die Auswahl aller Laufwerke aufheben Laufwerk - Buchstabe des Laufwerks, das aktiviert/deaktiviert werden soll all - Alle Laufwerke auswählen HINWEIS: Verwenden Sie diese Option, um den Zugriff auf Wechselmedien freizugeben (CD, Disketten, USB- Laufwerke). Wenn Sie ein Medium auswählen, werden die Zugriffsbeschränkungen für dieses Medium entfernt Kontext - AV WEB BROWSERS Webbrowser. [get] browsers add remove browsers <Pfad> add - Element hinzufügen remove - Element entfernen Pfad - Pfad der Anwendung HINWEIS: Zur Erhöhung der Sicherheit wird empfohlen, jede als Webbrowser verwendete Anwendung zu markieren (Häkchen setzen). Bei nicht als Webbrowser markierten Anwendungen werden die übertragenen Daten möglicherweise nicht vollständig geprüft. CLEANLEVEL Säuberungsstufe. [get] restore cleanlevel set cleanlevel none normal strict 130

131 none - Schadcode nicht entfernen normal - Normales Säubern strict - Immer versuchen, automatisch zu entfernen EXTENSIONS Geprüfte/ausgeschlossene Erweiterungen. [get] restore extensions add remove extensions <Erweiterung> /all /extless add - Element hinzufügen remove - Element entfernen Erweiterung - Erweiterung all - Alle Dateien extless - Dateien ohne Erweitung STATUS Web-Schutz. [get] restore status set status disabled enabled Kontext - AV WEB ADDRESSMGMT ADDRESS Verwaltung der Adressen in der ausgewählten Liste. [get] clear address add remove address <Adresse> import export address <Pfad> add - Element hinzufügen 131

132 remove - Element entfernen import - Aus Datei importieren export - In Datei exportieren clear - Alle Objekte/Dateien entfernen Adresse - Adresse Pfad - Dateipfad LIST Adresslistenverwaltung. [get] restore list set list <Listenname> disabled enabled select remove list <Listenname> add list allowed <Listenname> blocked <Listenname> excluded <Listenname> select - Zum Bearbeiten auswählen add - Element hinzufügen remove - Element entfernen Listenname - Listenname disabled - Liste nicht verwenden enabled - Liste verwenden allowed - Liste zugelassener Adressen blocked - Liste gesperrter Adressen excluded - Liste von Adressen, die nicht geprüft werden HINWEIS: Zum Bearbeiten der ausgewählten Liste (markiert mit - x) geben Sie den Befehl av web addressmgmt address ein. NOTIFY Benachrichtigung bei Verwendung von Adresse aus Liste. [get] restore notify set notify disabled enabled 132

133 WHITELISTED Nur Zugriff auf HTTP-Adressen aus der Liste zulässiger Adressen erlauben. [get] restore whitelisted set whitelisted disabled enabled Kontext - AV WEB LIMITS ARCHIVE LEVEL Verschachtelungstiefe bei Archiven. [get] restore level set level <Zahlenwert> Zahlenwert - Suchtiefe von 1 bis 20 bzw. 0 für Standardeinstellungen SIZE Maximalgröße von Dateien im Archiv (Kilobyte). [get] restore size set size <Zahlenwert> Zahlenwert - Größe in KB oder 0 für Standardeinstellungen 133

134 Kontext - AV WEB LIMITS OBJECTS SIZE Max. Archivgröße (KB). [get] restore size set size <Zahlenwert> Zahlenwert - Größe in KB oder 0 für Standardeinstellungen TIMEOUT Maximale Prüfzeit pro Archiv (Sek.). [get] restore timeout set timeout <Zahlenwert> Zahlenwert - Zeit in Sekunden oder 0 für Standardeinstellungen Kontext - AV WEB OBJECTS ARCHIVE Archive prüfen. [get] restore archive set archive disabled enabled BOOT Bootsektoren prüfen. 134

135 [get] restore boot set boot disabled enabled -Dateien prüfen. [get] restore set disabled enabled FILE Dateien prüfen. [get] restore file set file disabled enabled MEMORY Arbeitsspeicher prüfen. [get] restore memory set memory disabled enabled 135

136 RUNTIME Laufzeitkomprimierte Dateien prüfen. [get] restore runtime set runtime disabled enabled SFX Selbstentpackende Archive prüfen. [get] restore sfx set sfx disabled enabled Kontext - AV WEB OPTIONS ADVHEURISTICS Advanced Heuristik verwenden. [get] restore advheuristics set advheuristics disabled enabled 136

137 ADWARE Erkennung von Adware/Spyware/Riskware. [get] restore adware set adware disabled enabled HEURISTICS Heuristik verwenden. [get] restore heuristics set heuristics disabled enabled SIGNATURES Signaturdatenbank verwenden. [get] restore signatures set signatures disabled enabled 137

138 UNSAFE Erkennung potenziell unsicherer Anwendungen. [get] restore unsafe set unsafe disabled enabled UNWANTED Erkennung evtl. unerwünschter Anwendungen. [get] restore unwanted set unwanted disabled enabled Kontext - AV WEB OPTIONS BROWSERS ACTIVEMODE Aktiver Modus für Webbrowser. [get] activemode add remove activemode <Pfad> add - Element hinzufügen remove - Element entfernen Pfad - Pfad der Anwendung HINWEIS: Programme aus dieser Liste werden automatisch zur Liste der Webbrowser hinzugefügt. 138

139 Kontext - AV WEB OTHER LOGALL Alle Objekte in Log aufnehmen. [get] restore logall set logall disabled enabled OPTIMIZE Smart-Optimierung. [get] restore optimize set optimize disabled enabled Kontext - AV WEB PROTOCOL HTTP PORTS Portnutzung HTTP-Protokoll. [get] restore ports set ports [<Zeichenfolge>] Zeichenfolge - Durch Doppelpunkt getrennte Portnummern USE 139

140 HTTP-Protokoll prüfen. [get] restore use set use disabled enabled Kontext - AV WEB PROTOCOL HTTPS MODUS HTTPS-Filtermodus. [get] restore mode set mode none ports browsers none - Keine Protokollprüfung verwenden ports - HTTPS-Protokollprüfung für ausgewählte Ports durchführen browsers - HTTPS-Protokollprüfung für als Webbrowser markierte Anwendungen durchführen, die ausgewählte Ports verwenden PORTS Vom HTTPS-Protokoll verwendete Ports. [get] restore ports set ports [<Zeichenfolge>] Zeichenfolge - Durch Komma voneinander getrennte Portnummern 140

141 Kontext - GENERAL CONFIG Einstellungen importieren/exportieren. import export config <Pfad> import - Aus Datei importieren export - In Datei exportieren Pfad - Dateipfad LICENSE Lizenzverwaltung. [get] license import license <Pfad> export license <ID> <Pfad> remove license <ID> remove - Element entfernen import - Aus Datei importieren export - In Datei exportieren Pfad - Pfad der Lizenzdatei ID - Lizenz-ID Kontext - GENERAL ACCESS ADMIN Schutz der Einstellungen für Administratorrechte [get] restore admin set admin disabled enabled 141

142 BATCH Als Argumente eingegebene Befehle ausführen, wenn eshell aktiv ist. [get] restore batch set batch disabled <Zeit> allways disabled - Deaktiviert Zeit - Intervall in Minuten ( Minuten) allways - Immer PASSWORD Dieses Passwort wird für passwortgeschützte Befehle verwendet. Wenn Sie passwortgeschützte Befehle ausführen möchten, werden Sie in der Regel aufgefordert, ein Passwort einzugeben. Dies ist eine Sicherheitsmaßnahme. Sie betrifft Befehle, die zum Beispiel die Deaktivierung des Virenschutzes zur Folge haben oder die Funktion von ESET File Security beeinflussen könnten. Jedes Mal, wenn ein solcher Befehl ausgeführt werden soll, muss das Passwort eingegeben werden. Alternativ dazu können Sie das Passwort für die aktuelle eshell-sitzung festlegen. Dann werden Sie nicht mehr zur Eingabe aufgefordert. Weitere Informationen finden Sie hier. Geben Sie keine Parameter ein, wenn Sie zur Passworteingabe aufgefordert werden möchten (empfohlen). Geben Sie ein leeres Passwort an, wenn Sie das Passwort zurücksetzen möchten. KONTEXTPFAD: general access [get] restore set password get - Passwort anzeigen set - Passwort festlegen restore - Passwort zurücksetzen BEISPIELE: get password - Mit diesem Befehl können Sie überprüfen, ob ein Passwort konfiguriert wurde. Es werden nur * (Sternchen) angezeigt, nicht das eigentliche Passwort. Werden keine Sternchen angezeigt, so wurde auch kein Passwort festgelegt. set password - Hiermit können Sie das Passwort festlegen. Geben Sie einfach Ihr Passwort ein (wenn kein Passwort eingegeben wird, werden die Einstellungen nicht geschützt). restore password - Dieser Befehl löscht das bestehende Passwort (Einstellungen werden nicht geschützt). GUI-ÄQUIVALENT: Hier können Sie sich anzeigen lassen, wie diese Konfiguration mit der Benutzeroberfläche durchgeführt wird. 142

143 Kontext - GENERAL ESHELL ALIAS Verwaltung der Aliasnamen. [get] clear restore alias add alias [.] <Alias>=<Befehl> remove alias <Alias> import export alias <Pfad> add - Element hinzufügen remove - Element entfernen import - Aus Datei importieren export - In Datei exportieren. - Globales Alias erstellen Alias - Neues Alias Befehl - Verknüpfter Befehl (Gültigkeit des Befehls wird nicht geprüft) Alias - Zu löschendes Alias Pfad - Dateipfad LISTER Lister verwenden. [get] restore lister set lister disabled enabled 143

144 Kontext - GENERAL ESHELL COLOR ALIAS Farbe für Aliasnamen. [get] restore alias set alias [black navy grass ltblue brown purple olive ltgray gray blue green cyan re magenta yellow white] black - Schwarz navy - Dunkelblau grass - Grasgrün ltblue - Hellblau brown - Braun purple - Violett olive - Olivgrün ltgray - Hellgrau gray - Grau blue - Blau green - Grün cyan - Cyan red - Rot magenta - Magenta yellow - Gelb white - Weiß COMMAND Farbe für Befehle. [get] restore command set command [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] 144

145 black - Schwarz navy - Dunkelblau grass - Grasgrün ltblue - Hellblau brown - Braun purple - Violett olive - Olivgrün ltgray - Hellgrau gray - Grau blue - Blau green - Grün cyan - Cyan red - Rot magenta - Magenta yellow - Gelb white - Weiß CONTEXT Farbe für Kontexte. [get] restore context set context [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] black - Schwarz navy - Dunkelblau grass - Grasgrün ltblue - Hellblau brown - Braun purple - Violett olive - Olivgrün ltgray - Hellgrau gray - Grau blue - Blau green - Grün cyan - Cyan red - Rot 145

146 magenta - Magenta yellow - Gelb white - Weiß DEFAULT Standardfarbe. [get] restore default set default [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] black - Schwarz navy - Dunkelblau grass - Grasgrün ltblue - Hellblau brown - Braun purple - Violett olive - Olivgrün ltgray - Hellgrau gray - Grau blue - Blau green - Grün cyan - Cyan red - Rot magenta - Magenta yellow - Gelb white - Weiß DISABLED Farbe für nicht verfügbar. [get] restore disabled set disabled [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] 146

147 black - Schwarz navy - Dunkelblau grass - Grasgrün ltblue - Hellblau brown - Braun purple - Violett olive - Olivgrün ltgray - Hellgrau gray - Grau blue - Blau green - Grün cyan - Cyan red - Rot magenta - Magenta yellow - Gelb white - Weiß FEHLER Farbe für Fehlermeldungen. [get] restore error set error [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] black - Schwarz navy - Dunkelblau grass - Grasgrün ltblue - Hellblau brown - Braun purple - Violett olive - Olivgrün ltgray - Hellgrau gray - Grau blue - Blau green - Grün cyan - Cyan 147

148 red - Rot magenta - Magenta yellow - Gelb white - Weiß INTERACTIVE Farbe für interaktive Vorgänge. [get] restore interactive set interactive [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] black - Schwarz navy - Dunkelblau grass - Grasgrün ltblue - Hellblau brown - Braun purple - Violett olive - Olivgrün ltgray - Hellgrau gray - Grau blue - Blau green - Grün cyan - Cyan red - Rot magenta - Magenta yellow - Gelb white - Weiß LIST1 Listenfarbe 1. [get] restore list1 set list1 [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] 148

149 black - Schwarz navy - Dunkelblau grass - Grasgrün ltblue - Hellblau brown - Braun purple - Violett olive - Olivgrün ltgray - Hellgrau gray - Grau blue - Blau green - Grün cyan - Cyan red - Rot magenta - Magenta yellow - Gelb white - Weiß LIST2 Listenfarbe 2. [get] restore list2 set list2 [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] black - Schwarz navy - Dunkelblau grass - Grasgrün ltblue - Hellblau brown - Braun purple - Violett olive - Olivgrün ltgray - Hellgrau gray - Grau blue - Blau green - Grün 149

150 cyan - Cyan red - Rot magenta - Magenta yellow - Gelb white - Weiß SUCCESS Farbe für Status OK. [get] restore success set success [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] black - Schwarz navy - Dunkelblau grass - Grasgrün ltblue - Hellblau brown - Braun purple - Violett olive - Olivgrün ltgray - Hellgrau gray - Grau blue - Blau green - Grün cyan - Cyan red - Rot magenta - Magenta yellow - Gelb white - Weiß WARNING Farbe für Warnhinweise. [get] restore warning set warning [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] 150

151 black - Schwarz navy - Dunkelblau grass - Grasgrün ltblue - Hellblau brown - Braun purple - Violett olive - Olivgrün ltgray - Hellgrau gray - Grau blue - Blau green - Grün cyan - Cyan red - Rot magenta - Magenta yellow - Gelb white - Weiß Kontext - GENERAL ESHELL OUTPUT UTF8 Ausgabe in UTF8-Kodierung. [get] restore utf8 set utf8 disabled enabled HINWEIS: Zur korrekten Anzeige der Informationen sollte für die Kommandozeile eine TrueType-Schriftart wie Lucida Console gewählt werden. 151

152 Kontext - GENERAL ESHELL STARTUP LOADCOMMANDS Alle Befehle beim Programmstart laden. [get] restore loadcommands set loadcommands disabled enabled STATUS Schutzstatus beim Programmstart anzeigen. [get] restore status set status disabled enabled Kontext - GENERAL ESHELL VIEW CMDHELP Hilfe bei fehlgeschlagener Ausführung von Befehlen anzeigen. [get] restore cmdhelp set cmdhelp disabled enabled 152

153 COLORS Farben verwenden. [get] restore colors set colors disabled enabled FITWIDTH Text auf Fensterbreite abschneiden. [get] restore fitwidth set fitwidth disabled enabled GLOBAL Globale Befehle anzeigen [get] restore global set global disabled enabled HIDDEN Versteckte Befehle anzeigen. 153

154 [get] restore hidden set hidden disabled enabled OPERATIONS Vorgänge in der Befehlliste anzeigen. [get] restore operations set operations disabled enabled SHORTLIST Beim Kontextwechsel kurze Liste möglicher Befehle anzeigen. [get] restore shortlist set shortlist disabled enabled SYNTAXHINT Syntaxhinweise für Befehle anzeigen. [get] restore syntaxhint set syntaxhint disabled enabled 154

155 VALUESONLY Nur Werte ohne Beschreibung anzeigen. [get] restore valuesonly set valuesonly disabled enabled Kontext - GENERAL PERFORMANCE SCANNERS Anzahl der laufenden Prüfungen. [get] restore scanners set scanners <Zahlenwert> Zahlenwert - Anzahl (1-20) Kontext - GENERAL PROXY ADDRESS Proxyserver-Adresse. [get] restore address set address [<Zeichenfolge>] 155

156 Zeichenfolge - Adresse DETECT Erkennung der Proxyserver-Konfiguration. detect LOGIN Benutzername. [get] restore login set login [<Zeichenfolge>] Zeichenfolge - Name PASSWORD Proxyserver-Passwort. [get] restore password set password [plain <Passwort>] plain - Passwort als Parameter eingeben Passwort - Passwort PORT Port [get] restore port set port <Zahlenwert> 156

157 Zahlenwert - Portnummer USE Proxyserver verwenden. [get] restore use set use disabled enabled Kontext - GENERAL QUARANTINE RESCAN UPDATE Dateien in Quarantäne nach jedem Update prüfen. [get] restore update set update disabled enabled Kontext - GENERAL REMOTE INTERVAL Verbindungsintervall (Minuten). [get] restore interval set interval <Zahlenwert> 157

158 Zahlenwert - Intervall in Minuten ( ) USE Serververbindung über ERA. [get] restore use set use disabled enabled Kontext - GENERAL REMOTE SERVER PRIMARY ADDRESS ERA-Serveradresse. [get] restore address set address [<Zeichenfolge>] Zeichenfolge - Adresse ENCRYPT Unverschlüsselte Verbindung blockieren. [get] restore encrypt set encrypt disabled enabled PASSWORD 158

159 Passwort für ERA-Server. [get] restore password set password [plain <Passwort>] plain - Passwort als Parameter eingeben Passwort - Passwort PORT ERA-Serverport. [get] restore port set port <Zahlenwert> Zahlenwert - Portnummer Kontext - GENERAL REMOTE SERVER SECONDARY ADDRESS ERA-Serveradresse. [get] restore address set address [<Zeichenfolge>] Zeichenfolge - Adresse ENCRYPT Unverschlüsselte Verbindung blockieren. [get] restore encrypt set encrypt disabled enabled 159

160 PASSWORD Passwort für ERA-Server. [get] restore password set password [plain <Passwort>] plain - Passwort als Parameter eingeben Passwort - Passwort PORT ERA-Serverport. [get] restore port set port <Zahlenwert> Zahlenwert - Portnummer Kontext - GENERAL TS.NET EXCLUSION Vom Einreichen ausschließen. [get] restore exclusion add remove exclusion <Ausschlussfilter> add - Element hinzufügen 160

161 remove - Element entfernen Ausschlussfilter - Erweiterung FROM -Adresse für Rückfragen. [get] restore from set from [<Zeichenfolge>] Zeichenfolge - -Adresse LOGING Log-Erstellung. [get] restore loging set loging disabled enabled SENDING Verdächtige Dateien einreichen. [get] restore sending set sending none ask auto none - Nicht einreichen ask - Vor dem Einreichen Benutzer fragen 161

162 auto - Ohne Bestätigung einreichen VIA Art und Weise der Übermittlung. [get] restore via set via auto ra direct auto - Über Remote Administrator oder direkt an ESET ra - Über Remote Administrator direkt - Direkt an ESET WHEN Zeitpunkt des Einreichens verdächtiger Dateien. [get] restore when set when asap update asap - Baldmöglichst update - Beim nächsten Update Kontext - GENERAL TS.NET STATISTICS SENDING Senden statistischer Daten. [get] restore sending set sending disabled enabled 162

163 WHEN Anonymisierte statistische Daten einreichen. [get] restore when set when asap update asap - Baldmöglichst update - Beim nächsten Update Kontext - SCANNER CLEANLEVEL Säuberungsstufe. [get] restore cleanlevel set cleanlevel none normal strict none - Schadcode nicht entfernen normal - Normales Säubern strict - Immer versuchen, automatisch zu entfernen EXTENSIONS Geprüfte/ausgeschlossene Erweiterungen. [get] restore extensions add remove extensions <Erweiterung> /all /extless add - Element hinzufügen remove - Element entfernen Erweiterung - Erweiterung all - Alle Dateien 163

164 extless - Dateien ohne Erweitung PROFILE Verwaltung von Prüfprofilen. [get] profile select remove profile <Name> add profile new: <Name> [copyfrom: <Name>] select - Element auswählen add - Element hinzufügen remove - Element entfernen Name - Profilname new - Neues Profil copyfrom - Einstellungen kopieren von Profil HINWEIS: Andere Kontextbefehle beziehen sich auf das aktive Profil (markiert mit - x). Um das aktive Profil festzulegen, verwenden Sie den Befehl select scanner profile <Profilname>. SCAN Computer prüfen. [get] clear scan start scan [readonly] pause resume stop scan <ID> all get - Laufende und abgeschlossene Prüfungen anzeigen start - Prüfung für das ausgewählte Profil ausführen stop - Prüfung abbrechen resume - Angehaltene Prüfung fortführen pause - Prüfung anhalten clear - Abgeschlossene Prüfungen aus der Liste entfernen readonly - Nur Prüfen, keine Aktion ID - Prüfungs-ID für die Befehlsausführung all - Befehl für alle Prüfungen ausführen TARGET Zu prüfende Objekte für aktives Profil. [get] target add remove target <Pfad> 164

165 add - Element hinzufügen remove - Element entfernen Pfad - Pfad/zu prüfendes Objekt HINWEIS: Den Bootsektor können Sie folgendermaßen angeben: X:\${Boot} mit X als dem Namen des zu prüfenden Laufwerks Kontext - SCANNER LIMITS ARCHIVE LEVEL Verschachtelungstiefe bei Archiven. [get] restore level set level <Zahlenwert> Zahlenwert - Suchtiefe von 1 bis 20 bzw. 0 für Standardeinstellungen SIZE Maximalgröße von Dateien im Archiv (Kilobyte). [get] restore size set size <Zahlenwert> Zahlenwert - Größe in KB oder 0 für Standardeinstellungen Kontext - SCANNER LIMITS OBJECTS SIZE Max. Archivgröße (KB). [get] restore size set size <Zahlenwert> 165

166 Zahlenwert - Größe in KB oder 0 für Standardeinstellungen TIMEOUT Maximale Prüfzeit pro Archiv (Sek.). [get] restore timeout set timeout <Zahlenwert> Zahlenwert - Zeit in Sekunden oder 0 für Standardeinstellungen Kontext - SCANNER OBJECTS ARCHIVE Archive prüfen. [get] restore archive set archive disabled enabled BOOT Bootsektoren prüfen. [get] restore boot set boot disabled enabled 166

167 -Dateien prüfen. [get] restore set disabled enabled FILE Dateien prüfen. [get] restore file set file disabled enabled MEMORY Arbeitsspeicher prüfen. [get] restore memory set memory disabled enabled RUNTIME Laufzeitkomprimierte Dateien prüfen. 167

168 [get] restore runtime set runtime disabled enabled SFX Selbstentpackende Archive prüfen. [get] restore sfx set sfx disabled enabled Kontext - SCANNER OPTIONS ADVHEURISTICS Advanced Heuristik verwenden. [get] restore advheuristics set advheuristics disabled enabled ADWARE Erkennung von Adware/Spyware/Riskware. [get] restore adware 168

169 set adware disabled enabled HEURISTICS Heuristik verwenden. [get] restore heuristics set heuristics disabled enabled SIGNATURES Signaturdatenbank verwenden. [get] restore signatures set signatures disabled enabled UNSAFE Erkennung potenziell unsicherer Anwendungen. [get] restore unsafe set unsafe disabled enabled 169

170 UNWANTED Erkennung evtl. unerwünschter Anwendungen. [get] restore unwanted set unwanted disabled enabled Kontext - SCANNER OTHER ADS Alternative Datenströme (ADS) prüfen. [get] restore ads set ads disabled enabled LOGALL Alle Objekte in Log aufnehmen. [get] restore logall set logall disabled enabled 170

171 LOWPRIORITY Hintergrundprüfungen mit geringer Priorität ausführen. [get] restore lowpriority set lowpriority disabled enabled OPTIMIZE Smart-Optimierung. [get] restore optimize set optimize disabled enabled PRESERVETIME Datum für Geändert am beibehalten. [get] restore preservetime set preservetime disabled enabled 171

172 SCROLL Bildlauf in Log-Anzeige aktivieren. [get] restore scroll set scroll disabled enabled Kontext - SERVER AUTOEXCLUSIONS Verwaltung automatischer Ausschlüsse. [get] restore autoexclusions select autoexclusions <Server> select - Element auswählen Server - Servername Kontext - TOOLS QUARANTINE Quarantäne. [get] quarantine add quarantine <Pfad> send remove restore quarantine <ID> add - Element hinzufügen remove - Element entfernen send - Objekt/Datei senden 172

173 Pfad - Dateipfad ID - ID der Datei in Quarantäne STATISTICS Statistik. [get] clear statistics get - Statistiken anzeigen clear - Statistiken zurücksetzen SYSINSPECTOR SysInspector. [get] sysinspector add remove sysinspector <Name> export sysinspector <Name> to:<pfad> add - Element hinzufügen remove - Element entfernen export - In Datei exportieren Name - Kommentar Pfad - Dateiname (.zip oder.xml) Kontext - TOOLS ACTIVITY FILESYSTEM Dateisystem. [get] filesystem [<Anzahl>] [seconds minutes hours [<Jahr>-<Monat>]] NETWORK Netzwerkaktivität. [get] network [<Anzahl>] [seconds minutes hours [<Jahr>-<Monat>]] Anzahl - Anzahl der anzuzeigenden Einträge seconds - Intervall: 1 Sekunde minutes - Intervall: 1 Minute hours - Intervall: 1 Stunde Jahr - Einträge eines bestimmten Jahres anzeigen Monat - Einträge eines bestimmten Monats anzeigen 173

174 Kontext - TOOLS LOG DETECTIONS Informationen zu erkannter eingedrungener Schadsoftware anzeigen. KONTEXTPFAD: root [get] detections [count <Zahlenwert>] [from <Jahr>-<Monat>-<Tag> <Stunde>:<Minute>:<Sekunde>] [to <Jahr>-<Mo clear detections clear - Alle Objekte/Dateien entfernen count - Ausgewählte Anzahl an Einträgen anzeigen Zahlenwert - Anzahl an Einträgen from - Einträge ab der festgelegten Zeit anzeigen Jahr - Jahr Monat - Monat Tag - Tag Stunde - Stunde Minute - Minute Sekunde - Sekunde to - Einträge bis zur festgelegten Zeit anzeigen ALIASNAMEN: virlog BEISPIELE: get detections from :30:00 - Zeigt jeden erkannten Eindringversuch ab dem 14. April 2011, 01:30:00 an (die Zeitangabe ist beim Festlegen des Datums ebenfalls erforderlich, da sonst der Befehl nicht korrekt ausgeführt wird) clear detections - Löscht alle Einträge im Log EVENTS Geeignet, um sich Informationen zu verschiedenen Ereignissen anzeigen zu lassen. [get] events [count <Zahlenwert>] [from <Jahr>-<Monat>-<Tag> <Stunde>:<Minute>:<Sekunde>] [to <Jahr>- <Monat>-<Tag> <Stunde>:<Minute>:<Sekunde>] clear events clear - Alle Objekte/Dateien entfernen count - Ausgewählte Anzahl an Einträgen anzeigen 174

175 Zahlenwert - Anzahl an Einträgen from - Einträge ab der festgelegten Zeit anzeigen Jahr - Jahr Monat - Monat Tag - Tag Stunde - Stunde Minute - Minute Sekunde - Sekunde to - Einträge bis zur festgelegten Zeit anzeigen ALIASNAMEN: warnlog BEISPIELE: get events from :30:00 - Zeigt alle Ereignisse ab dem 14. April 2011, 01:30:00 an (die Zeitangabe ist beim Festlegen des Datums ebenfalls erforderlich, da sonst der Befehl nicht korrekt ausgeführt wird) clear events - Löscht alle Einträge im Log FILTER Mindestinformationen anzuzeigender Ereignisse. [get] restore filter set filter [[none] [critical] [errors] [warnings] [informative] [diagnostic] [all]] [smart] none - Keine Einträge critical - Kritische Fehler errors - Fehler warnings - Warnungen informative - Informationen diagnostic - Diagnosedaten all - Alle Einträge smart - Smart-Filter SCANNERS Prüfungs-Log oder Log-Liste. [get] scanners [id <ID>] [count <Zahlenwert>] [from <Jahr>-<Monat>-<Tag> <Stunde>:<Minute>:<Sekunde>] [to <Jahr>-<Monat>-<Tag> <Stunde>:<Minute>:<Sekunde>] clear scanners 175

176 clear - Alle Objekte/Dateien entfernen id - Details zur Prüfung mit Prüfungs-ID anzeigen ID - Prüfungs-ID count - Nur ausgewählte Anzahl an Einträgen anzeigen Zahlenwert - Anzahl an Einträgen from - Nur Einträge ab der festgelegten Zeit anzeigen Jahr - Jahr Monat - Monat Tag - Tag Stunde - Stunde Minute - Minute Sekunde - Sekunde to - Nur Einträge ab der festgelegten Zeit anzeigen VERBOSITY Mindestinformation in Logs. [get] restore verbosity set verbosity critical errors warnings informative diagnostic critical - Kritische Fehler errors - Fehler warnings - Warnungen informative - Informationen diagnostic - Diagnosedaten Kontext - TOOLS LOG CLEANING TIMEOUT Aufbewahrungsdauer der Log-Einträge (Tage). [get] restore timeout set timeout <Zahlenwert> 176

177 Zahlenwert - Tage (1-365) USE Automatisches Löschen von Logs. [get] restore use set use disabled enabled Kontext - TOOLS LOG OPTIMIZE LEVEL Optimierung, wenn die Prozentzahl an ungenutzten Einträgen einen festgelegten Wert übersteigt. [get] restore level set level <Zahlenwert> Zahlenwert - Prozentzahl an ungenutzten Einträgen (1-100) USE Automatische Log-Optimierung. [get] restore use set use disabled enabled 177

178 Kontext - TOOLS NOTIFICATION VERBOSITY Mindestumfang der Meldungen. [get] restore verbosity set verbosity critical errors warnings informative diagnostic critical - Kritische Fehler errors - Fehler warnings - Warnungen informative - Informationen diagnostic - Diagnosedaten Kontext - TOOLS NOTIFICATION FROM Absender- -Adresse. [get] restore from set from [<Zeichenfolge>] Zeichenfolge - -Adresse LOGIN Benutzername. [get] restore login set login [<Zeichenfolge>] 178

179 Zeichenfolge - Name PASSWORD Passwort. [get] restore password set password [plain <Passwort>] plain - Passwort als Parameter eingeben Passwort - Passwort SERVER SMTP-Server-Adresse. [get] restore server set server [<Zeichenfolge>] Zeichenfolge - Adresse TO Empfänger- -Adresse. [get] restore to set to [<Zeichenfolge>] Zeichenfolge - -Adresse USE Ereignisversand per . [get] restore use 179

180 set use disabled enabled Kontext - TOOLS NOTIFICATION MESSAGE ENCODING Codierung von Warnungen. [get] restore encoding set encoding nolocal localcharset localencoding ISO-2022-JP nolocal - Keine nationalen Sonderzeichen verwenden localcharset - Nationale Sonderzeichen verwenden localencoding - Nationale Sonderzeichen und Codierung verwenden ISO - Codierung nach ISO-2022-JP verwenden (nur japanische Version) Kontext - TOOLS NOTIFICATION MESSAGE FORMAT DETECTION Format von Bedrohungswarnungen. [get] restore detection set detection [<Zeichenfolge>] Zeichenfolge - Meldungsformat Auswahlmöglichkeiten für das Meldungsformat: %TimeStamp% - Datum und Uhrzeit des Ereignisses %Scanner% - Modul, das das Ereignis erkannt hat 180

181 %ComputerName% - Computername %ProgramName% - Programm, das das Ereignis verursacht hat %ErrorDescription% - Fehlerbeschreibung Das Meldungsformat enthält Schlüsselwörter in Prozentzeichen ( % ), die durch die jeweiligen Werte ersetzt werden. HINWEIS: Die Virenmeldungen und Warnungen in ESET File Security haben ein Standardformat. Sie sollten dieses Format nicht unbedingt ändern, können dies jedoch tun, wenn Sie die s automatisch verarbeiten möchten. EVENT Format von Ereignismeldungen. [get] restore event set from [<Zeichenfolge>] Zeichenfolge - Meldungsformat Auswahlmöglichkeiten für das Meldungsformat: %TimeStamp% - Datum und Uhrzeit des Ereignisses %Scanner% - Modul, das das Ereignis erkannt hat %ComputerName% - Computername %ProgramName% - Programm, das das Ereignis verursacht hat %InfectedObject% - Infiziertes Objekt (Datei, ...) %VirusName% - Virusname Das Meldungsformat enthält Schlüsselwörter in Prozentzeichen ( % ), die durch die jeweiligen Werte ersetzt werden. HINWEIS: Die Virenmeldungen und Warnungen in ESET File Security haben ein Standardformat. Sie sollten dieses Format nicht unbedingt ändern, können dies jedoch tun, wenn Sie die s automatisch verarbeiten möchten Kontext - TOOLS NOTIFICATION WINPOPUP ADDRESS Meldungen an folgende Computer senden. [get] restore address set address [<Zeichenfolge>] Zeichenfolge - Namen der Computer (Trennzeichen Komma) TIMEOUT 181

182 Sendeintervall. [get] restore timeout set timeout <Zahlenwert> Zahlenwert - Intervall in Sekungen (1-3600) USE Ereignisse an Computer im LAN senden. [get] restore use set use disabled enabled Kontext - TOOLS SCHEDULER ACTION Aktion für geplanten Task. [get] action set action external logmaintenance startupcheck status scan update external - Start externer Anwendung logmaintenance - Log-Wartung startupcheck - Prüfung der Systemstartdateien status - Snapshot des Computerstatus erstellen scan - Computer prüfen update - Update TASK 182

183 Geplante Tasks. [get] select task [<ID>] set task <ID> disabled enabled add task <Taskname> remove start task <ID> select - Element auswählen add - Element hinzufügen remove - Element entfernen start - Task starten ID - Task-ID Taskname - Taskname TRIGGER Taskausführung. [get] trigger set trigger once repeat daily weekly event once - Einmalig repeat - Wiederholt daily - Täglich weekly - Wöchentlich event - Bei Ereignis 183

184 Kontext - TOOLS SCHEDULER EVENT INTERVAL Innerhalb des angegebenen Zeitraums Task nur einmal ausführen (Stunden). [get] interval set interval <Stunden> Stunden - Zeit in Stunden (1-720 Stunden) TYPE Taskausführung bei Ereignis. [get] type set type startup startuponcedaily dialup engineupdate appupdate logon detection startup - Start des Computers startuponcedaily - Jeden Tag beim ersten Start des Computers dialup - Wählverbindung zum Internet/VPN engineupdate - Update der Signaturdatenbank appupdate - Update der Programmkomponenten logon - Benutzeranmeldung detection - Bei erkannten Bedrohungen Kontext - TOOLS SCHEDULER FAILSAFE EXECUTE Aktion, wenn Task nicht wie geplant ausgeführt wurde. [get] execute set execute asap iftimeout no asap - Ausführung zum nächstmöglichen Zeitpunkt 184

185 iftimeout - Sofort ausführen, wenn Intervall seit letzter Ausführung überschritten no - Nächste Ausführung genau nach Planung HINWEIS: Intervall wird festgelegt mit SET TOOLS SCHEDULER EDIT FAILSAFE TIMEOUT <STUNDEN>. TIMEOUT Task-Intervall (Stunden). [get] timeout set timeout <Stunden> Stunden - Zeit in Stunden (1-720 Stunden) Kontext - TOOLS SCHEDULER PARAMETERS CHECK LEVEL Prüfstufe. [get] level set level [before_logon after_logon most_frequent frequent common rare all] before_logon - Dateien, die vor der Benutzeranmeldung gestartet werden after_logon - Dateien, die nach der Benutzeranmeldung gestartet werden most_frequent - Nur die am häufigsten verwendeten Dateien frequent - Häufig verwendete Dateien common - Von den meisten Benutzern verwendete Dateien rare - Selten verwendete Dateien all - Registrierte Dateien PRIORITY Prüfpriorität. [get] priority set priority [normal low lowest idle] 185

186 normal - Normal low - Niedrig lowest - Minimal idle - Bei Leerlauf Kontext - TOOLS SCHEDULER PARAMETERS EXTERNAL ARGUMENTS Argumente. [get] arguments set arguments <Argumente> Argumente - Argumente DIRECTORY Arbeitsverzeichnis. [get] directory set directory <Pfad> Pfad - Pfad EXECUTABLE Ausführbare Datei. [get] executable set executable <Pfad> Pfad - Pfad 186

187 Kontext - TOOLS SCHEDULER PARAMETERS SCAN PROFILE Prüfprofil. [get] profile set profile <Profil> Profil - Profilname READONLY Nur Prüfen, keine Aktion. [get] readonly set readonly disabled enabled TARGET Zu prüfende Objekte. [get] clear target add remove target <Pfad> add - Element hinzufügen remove - Element entfernen clear - Alle Objekte/Dateien entfernen Pfad - Pfad/zu prüfendes Objekt 187

188 Kontext - TOOLS SCHEDULER PARAMETERS UPDATE PRIMARY Update-Profil. [get] primary set primary [<Profil>] Profil - Profilname SECONDARY Alternatives Update-Profil. [get] secondary set secondary [<Profil>] Profil - Profilname Kontext - TOOLS SCHEDULER REPEAT INTERVAL Task-Intervall (Minuten). [get] interval set interval <Minuten> Minuten - Zeit in Minuten (1-720 Stunden) 188

189 Kontext - TOOLS SCHEDULER STARTUP DATE Task wird am ausgewählten Tag ausgeführt. [get] date set date <Jahr>-<Monat>-<Tag> Jahr - Jahr Monat - Monat Tag - Tag DAYS Task an ausgewählten Wochentagen ausführen. [get] days set days [none] [monday] [tuesday] [wednesday] [thurdsday] [friday] [saturday] [sunday] [all] none - Kein Tag angegeben monday - Montag tuesday - Dienstag wednesday - Mittwoch thurdsday - Donnerstag friday - Freitag saturday - Samstag sunday - Sonntag all - Jeden Tag TIME Task wird zur ausgewählten Uhrzeit ausgeführt. [get] time set time <Stunde>:<Minute>:<Sekunde> 189

190 Stunde - Stunde Minute - Minute Sekunde - Sekunde Kontext - UPDATE CACHE Update-Cache löschen. clear cache COMPONENTS Programmkomponenten aktualisieren. [get] restore components set components never allways ask never - Nicht aktualisieren allways - Immer aktualisieren ask - Benutzer fragen LOGIN Benutzername. [get] restore login set login [<Zeichenfolge>] Zeichenfolge - Name HINWEIS: Geben Sie den Benutzernamen und das Passwort ein, die Sie beim Kauf/der Registrierung erhalten haben. Zur korrekten Eingabe können Sie diese Angaben aus der Registrierungs-Mail kopieren (Strg+C) und einfügen (Strg+V). PASSWORD Passwort. [get] restore password 190

191 set password [plain <Passwort>] get - Passwort anzeigen set - Passwort festlegen oder löschen plain - Passwort als Parameter eingeben Passwort - Passwort HINWEIS: Geben Sie den Benutzernamen und das Passwort ein, die Sie beim Kauf/der Registrierung erhalten haben. Zur korrekten Eingabe können Sie diese Angaben aus der Registrierungs-Mail kopieren (Strg+C) und einfügen (Strg+V). PRERELEASE Testmodus aktivieren. [get] restore prerelease set prerelease disabled enabled PROFILE Update-Profile verwalten. [get] profile select remove profile <Name> add profile new: <Name> [copyfrom: <Name>] select - Element auswählen add - Element hinzufügen remove - Element entfernen Name - Profilname new - Neues Profil copyfrom - Einstellungen kopieren von Profil HINWEIS: Andere Kontextbefehle beziehen sich auf das aktive Profil (markiert mit - x). Um das aktive Profil festzulegen, verwenden Sie den Befehl select update profile <Profilname>. SERVER 191

192 Update-Server. [get] restore server select add remove server <Server> select - Element auswählen add - Element hinzufügen remove - Element entfernen Server - Serveradresse STATUS Update-Status anzeigen. [get] status UPDATE Update. start stop update start - Update starten stop - Update abbrechen Kontext - UPDATE CONNECTION DISCONNECT Nach Update Verbindung zum Server trennen. [get] restore disconnect set disconnect disabled enabled LOGIN Benutzername. 192

193 [get] restore login set login [<Zeichenfolge>] Zeichenfolge - Name PASSWORD Passwort. [get] restore password set password [plain <Passwort>] get - Passwort anzeigen set - Passwort festlegen oder löschen plain - Passwort als Parameter eingeben Passwort - Passwort RUNAS Verbindung mit dem LAN herstellen als... [get] restore runas set runas system current specified system - Systemkonto (Standard) current - Aktueller Benutzer specified - Folgender Benutzer 193

194 Kontext - UPDATE MIRROR FOLDER Ordner zum Speichern der Update-Dateien. [get] restore folder set folder [<Zeichenfolge>] Zeichenfolge - Ordnerpfad LOGIN Benutzername. [get] restore login set login [<Zeichenfolge>] Zeichenfolge - Name PASSWORD Passwort. [get] restore password set password [plain <Passwort>] get - Passwort anzeigen set - Passwort festlegen oder löschen plain - Passwort als Parameter eingeben Passwort - Passwort USE Update-Mirror aktivieren. [get] restore use 194

195 set use disabled enabled VERSIONS Verwaltung von Update-Versionen. [get] restore versions select versions <Version> get - Verfügbare Versionen anzeigen select - Update-Version aus-/abwählen Version - Versionsname Kontext - UPDATE MIRROR SERVER AUTHORIZATION Authentifizierung verwenden. [get] restore authorization set authorization none basic ntlm none - Keine basic - Basic ntlm - NTLM DISCONNECT Nach Update Verbindung zum Server trennen. [get] restore disconnect set disconnect disabled enabled 195

196 LOGIN Benutzername. [get] restore login set login [<Zeichenfolge>] Zeichenfolge - Name PASSWORD Passwort. [get] restore password set password [plain <Passwort>] get - Passwort anzeigen set - Passwort festlegen oder löschen plain - Passwort als Parameter eingeben Passwort - Passwort PORT Port. [get] restore port set port <Zahlenwert> 196

197 Zahlenwert - Portnummer RUNAS Verbindung mit dem LAN herstellen als... [get] restore runas set runas system current specified system - Systemkonto (Standard) current - Aktueller Benutzer specified - Folgender Benutzer SELECTEDPCU Ausgewähltes PCU für Update-Mirror. [get] restore selectedpcu set selectedpcu [<Zeichenfolge>] USE Dateien über integrierten HTTP-Server bereitstellen. [get] restore use set use disabled enabled 197

198 Kontext - UPDATE NOTIFICATION DOWNLOAD Vor dem Herunterladen von Updates fragen. [get] restore download set download disabled enabled HIDE Keine Meldung über erfolgreiches Update anzeigen. [get] restore hide set hide disabled enabled SIZE Fragen, falls Update größer ist als (KB). [get] restore size set size <Zahlenwert> Zahlenwert -Dateigröße (KB) HINWEIS: Um Update-Benachrichtigungen zu deaktivieren, verwenden Sie den Wert

199 Kontext - UPDATE PROXY LOGIN Benutzername. [get] restore login set login [<Zeichenfolge>] Zeichenfolge - Name MODUS Einstellungen für HTTP-Proxy. [get] restore mode set mode global noproxy userdefined global - In Systemsteuerung eingestellten Proxyserver verwenden noproxy - Keinen Proxyserver verwenden userdefined - Verbindung über Proxyserver PASSWORD Passwort. [get] restore password set password [plain <Passwort>] get - Passwort anzeigen set - Passwort festlegen oder löschen plain - Passwort als Parameter eingeben Passwort - Passwort PORT Proxyserver-Port. 199

200 [get] restore port set port <Zahlenwert> Zahlenwert - Portnummer SERVER Proxyserver. [get] restore server set server [<Zeichenfolge>] Zeichenfolge - Serveradresse Kontext - UPDATE SYSTEM NOTIFY Hinweis zum Fehlen von Updates ab einer bestimmten Stufe. [get] restore notify set notify no optional recommended important critical no - Keine optional - Optional recommended - Empfohlen important - Wichtig critical - Kritisch RESTART Computerneustart, falls nach Update von Programmkomponenten erforderlich. 200

201 [get] restore restart set restart never ask auto never - Nicht neu starten ask - Vor Neustart fragen auto - Automatisch neu starten 4.11 Einstellungen importieren/exportieren Um Einstellungen von ESET File Security zu importieren oder zu exportieren, klicken Sie auf Einstellungen und dann auf Einstellungen importieren/exportieren. Für die Funktionen Import und Export wird das XML-Dateiformat verwendet. Diese Funktionen sind nützlich, wenn Sie die aktuelle Konfiguration von ESET File Security für eine spätere Verwendung sichern möchten. Die Exportfunktion bietet sich auch für Benutzer an, die ihre bevorzugte Konfiguration von ESET File Security auf mehreren Systemen verwenden möchten. Um die gewünschten Einstellungen zu übernehmen, wird einfach eine XML-Datei importiert ThreatSense.Net Dank des ThreatSense.Net-Frühwarnsystems erhält ESET unmittelbar und fortlaufend aktuelle Informationen zu neuer Schadsoftware. Das ThreatSense.Net-Frühwarnsystem funktioniert in zwei Richtungen, hat jedoch nur einen Zweck: die Verbesserung des Schutzes, den wir Ihnen bieten können. Die beste Möglichkeit, neue Bedrohungen zu erkennen, sobald sie in Erscheinung treten, besteht darin, so viele Kunden wie möglich zu verknüpfen und als Virenscouts einzusetzen. Als Benutzer haben Sie zwei Möglichkeiten: 1. Sie entscheiden sich, das ThreatSense.Net-Frühwarnsystem nicht zu aktivieren. Es steht Ihnen der volle Funktionsumfang der Software zur Verfügung, und Sie erhalten auch in diesem Fall den besten Schutz, den wir Ihnen bieten können. 2. Sie können das ThreatSense.Net-Frühwarnsystem so konfigurieren, dass Informationen über neue Bedrohungen und Fundstellen von gefährlichem Code übermittelt werden. Die Informationen bleiben anonym. Verdächtige Dateien können zur detaillierten Analyse an ESET gesendet werden. Durch die Untersuchung dieser Bedrohungen kann ESET die Fähigkeit seiner Software zur Erkennung von Schadsoftware aktualisieren und verbessern. Das ThreatSense.Net-Frühwarnsystem sammelt Daten über neue Bedrohungen, die auf Ihrem Computer erkannt wurden. Dazu können auch Proben oder Kopien der Datei gehören, in der eine Bedrohung aufgetreten ist, der Pfad zu dieser Datei, der Dateiname, Datum und Uhrzeit, der Prozess, über den die Bedrohung auf Ihrem Computer in Erscheinung getreten ist, und Informationen zum Betriebssystem des Computers. Obgleich es möglich ist, dass ESET auf diese Weise gelegentlich einige Informationen über Sie oder Ihren Computer erhält (z. B. Benutzernamen in Pfadangaben), werden diese Daten für KEINEN anderen Zweck als zur Verbesserung der unmittelbaren Reaktion auf Bedrohungen verwendet. 201

202 In der Standardeinstellung von ESET File Security müssen Sie das Einreichen verdächtiger Dateien zur genauen Analyse an ESET bestätigen. Dateien mit bestimmten Erweiterungen (z. B..doc oder.xls) sind immer von der Übermittlung ausgeschlossen. Sie können andere Dateierweiterungen hinzufügen, wenn es bestimmte Dateitypen gibt, die Sie oder Ihr Unternehmen nicht übermitteln möchten. Die Einstellungen für ThreatSense.Net befinden sich in den erweiterten Einstellungen unter Tools > ThreatSense.Net. Wählen Sie die Option ThreatSense-Frühwarnsystem aktivieren und klicken Sie dann auf Erweiterte Einstellungen. 202

203 Verdächtige Dateien In der Registerkarte Verdächtige Dateien können Sie konfigurieren, wie zu analysierende Dateien an ESET gesendet werden. Wenn Sie eine verdächtige Datei finden, können Sie sie zur Analyse an unser Virenlabor einreichen. Sollte dabei schädlicher Code zu Tage treten, wird dieser beim nächsten Update der Signaturdatenbank berücksichtigt. Das Einreichen von Dateien kann automatisch erfolgen. Wenn Sie dies nicht wünschen und stattdessen wissen möchten, welche Dateien eingereicht werden, aktivieren Sie die Option Vor dem Einreichen fragen, die Sie zu einer Bestätigung des Vorgangs auffordert. Wenn keine Dateien gesendet werden sollen, wählen Sie die Option Nicht zur Analyse einreichen. Die Übermittlung statistischer Daten wird separat konfiguriert und daher durch diese Einstellung nicht beeinflusst (siehe Abschnitt Statistik). Wann einreichen - Standardmäßig ist Baldmöglichst für das Einreichen verdächtiger Dateien an ESET festgelegt. Diese Einstellung wird empfohlen, wenn eine dauerhafte Internetverbindung besteht und die verdächtigen Dateien ohne Verzögerung übermittelt werden können. Aktiveren Sie die Option Beim nächsten Update, um verdächtige Dateien bei der nächsten Aktualisierung an ThreatSense.Net zu übertragen. Ausschlussfilter - Über diese Option können Sie bestimmte Dateien oder Ordner vom Senden ausschließen. Hier können Dateien eingetragen werden, die eventuell vertrauliche Informationen enthalten, wie zum Beispiel Textdokumente oder Tabellen. Einige typische Dateitypen sind bereits in der Standardeinstellung in die Liste eingetragen (.doc usw.). Sie können der Ausschlussliste weitere Dateien hinzufügen. -Adresse für Rückfragen (optional) - Sie können mit den verdächtigen Dateien eine -Adresse für Rückfragen angeben, wenn zur Analyse weitere Informationen erforderlich sind. Beachten Sie, dass Sie nur dann eine Antwort von ESET erhalten, wenn weitere Informationen von Ihnen benötigt werden. 203

204 Statistik Das ThreatSense.Net-Frühwarnsystem sammelt anonyme Daten über neue Bedrohungen, die auf Ihrem Computer erkannt wurden. Erfasst werden der Name der Bedrohung, Datum und Uhrzeit der Erkennung, die Versionsnummer des ESET Security-Produkts sowie Versionsdaten und die Regionaleinstellung des Betriebssystems. Statistikpakete werden normalerweise einmal oder zweimal täglich an ESET übermittelt. Beispiel für ein typisches Statistikpaket: # utc_time= :21:28 # country="slovakia" # language="english" # osver= NT # engine=5417 # components= # moduleid=0x4e4f4d41 # filesize=28368 # filename=c:\documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8 Wann einreichen - Sie können festlegen, wann die statistischen Daten übermittelt werden sollen. Wenn Sie die Option Baldmöglichst auswählen, werden die statistischen Daten direkt nach ihrer Erstellung gesendet. Diese Einstellung eignet sich, wenn eine dauerhafte Internetverbindung besteht. Bei der Option Beim nächsten Update werden die statistischen Daten gespeichert und beim nächsten Update gesammelt gesendet. 204

205 Einreichen Hier legen Sie fest, wie verdächtige Dateien und statistische Daten an ESET gesendet werden. Wählen Sie Über Remote Administrator Server oder direkt an ESET, wenn die Dateien und Daten auf allen verfügbaren Übertragungswegen übermittelt werden sollen. Mit der Option Über Remote Administrator werden Dateien und Statistiken an den Remote Administration Server gesendet, der sie zur Analyse an ESET weiterleitet. Bei Auswahl der Option Direkt an ESET werden alle verdächtigen Dateien und statistischen Daten direkt aus dem Programm an ESET gesendet. Wenn Dateien vorhanden sind, die noch gesendet werden müssen, ist die Schaltfläche Jetzt einreichen aktiviert. Klicken Sie auf diese Schaltfläche, um die Dateien und statistischen Daten direkt zu senden. Wählen Sie die Option Erstellen von Logs aktivieren, um eine Log-Datei zu erstellen, in der alle Informationen über das Senden von Dateien und statistischen Daten protokolliert werden. 205

206 4.13 Remoteverwaltung Mit dem ESET Remote Administrator (ERA) können Sie die Sicherheitseinstellungen von Clients verwalten und sich einen Überblick über die allgemeine Sicherheit innerhalb eines Netzwerks verschaffen. Besonders sinnvoll erweist sich dies bei größeren Netzwerken. ERA bietet nicht nur ein höheres Maß an Sicherheit, sondern ermöglicht auch die benutzerfreundliche Verwaltung von ESET File Security auf Clientcomputern. Die Einstellungsoptionen zur Remoteverwaltung sind im Hauptprogrammfenster von ESET File Security zu finden. Klicken Sie auf Einstellungen > Erweiterte Einstellungen > Allgemein > Remoteverwaltung. Aktivieren Sie die Option ESET Remote Administration Server verwenden, um die Remoteverwaltung zu aktivieren. Danach können Sie auf die im Folgenden beschriebenen weiteren Optionen zugreifen: Intervall für Verbindungsaufnahme zum Server (Min.): Hiermit können Sie bestimmen, wie oft ESET File Security eine Verbindung zum ERA Server herstellt. Bei der Einstellung 0 werden alle 5 Sekunden Daten gesendet. Serveradresse: Die Netzwerkadresse des Servers, auf dem der ERA Server installiert ist. Anschluss: Dieses Feld enthält einen vordefinierten Port für die Verbindung mit dem Server. Es wird empfohlen, den voreingestellten Port 2222 zu verwenden. Remote Administrator Server erfordert Authentifizierung: Falls erforderlich können Sie hier das Passwort für den Zugriff auf den ERA Server eingeben. Klicken Sie auf OK, um die Änderungen zu bestätigen und die Einstellungen zu übernehmen. ESET File Security verwendet diese Einstellungen für die Verbindung mit dem ERA Server. 206

207 4.14 Lizenzen Im Bereich Lizenzen können Sie die Lizenzschlüssel für ESET File Security und andere ESET-Produkte, wie ESET Mail Security usw., verwalten. Mit dem Kauf des Produktes erhalten Sie neben Ihren Lizenzdaten (Benutzername und Passwort) auch diese Lizenzschlüssel. Klicken Sie auf die entsprechenden Schaltflächen, um Lizenzen hinzuzufügen bzw. zu entfernen. Der Lizenzmanager findet sich in den erweiterten Einstellungen unter Allgemein > Lizenzen. Beim Lizenzschlüssel handelt es sich um eine Textdatei mit Informationen zum erworbenen Produkt: Eigentümer, Anzahl der Lizenzen und Ablaufdatum. Im Fenster Lizenzmanager kann der Inhalt eines Lizenzschlüssels geladen und angezeigt werden. Durch Klicken auf Hinzufügen werden die in der Datei enthaltenen Informationen im Lizenzmanager angezeigt. Um Lizenzdateien aus der Liste zu löschen, klicken Sie auf Entfernen. Wenn ein Lizenzschlüssel abgelaufen ist und Sie die Lizenz verlängern möchten, klicken Sie auf Bestellen. Sie werden dann an unseren Online-Shop weitergeleitet. 207