說明書 ESET NOD32 SMART SECURITY

[. . . ] 4  1. 2 系统要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 安 装. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6  2. 1 典型安装 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [. . . ] 17  4. 1. 5 ThreatSense ® 引擎参数设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18  4. 1. 6 发现病毒 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20  4. 2 个人防火墙. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20  4. 2. 1 过滤模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20  4. 2. 2 拦截所有通讯：断开网络 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20  4. 2. 3 禁用过滤允许所有通信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21  4. 2. 4 配置和使用规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21  4. 2. 5 区域的设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22  4. 2. 6 创建连接-侦测 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22  4. 2. 7 日志 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23  4. 3 反垃圾邮件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23  4. 3. 1 垃圾邮件启发式判断技术 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23  4. 4 计划任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24  4. 4. 1 计划任务的目的 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [. . . ] 追加消息标记到邮件正文 每封 ESET NOD32 安全套装接收的邮件，都可以在 邮件主题和正文添加扫描标签。这项功能为收件人增加 了可靠性，如果发现病毒，它可以提供关于指定邮件和 发件人风险级别的有用信息。 有关这一功能的选项可以在‘高级设置>病毒和间谍 软件防护>电子邮件防护’中找到。程序不但可以在已 接收邮件和已读邮件中添加标签，还可以追加标记消息 到已发送邮件。用户也能够决定将标签添加到所有邮 件、仅感染邮件或不添加。同时允许用户追加标记到被 感染邮件的原标题。要实现这一点，选择‘在已接收并 阅读的被感染电子邮件中添加标记’和‘在已发送的被 感染电子邮件的主题中添加注释’ 。 标签内容可以在染毒邮件标签字段模板中进行修改。 修改可以改善对被感染邮件的自动分拣过程，因为邮件 4. 1. 2. 1. 1 兼容性 某些电邮程序在经由 POP3 过滤后可能会遇到问题 （例如：如果使用网速较慢的连接进行接收，POP3 检 测可能造成客户端超时） 。遇到这种情况，可以尝试调 整监控方式。降低监控级别能改善清除的速度。您可以 转到‘病毒和间谍软件防护> 电子邮件防护>POP3>兼 容性’ 来调整 POP3 过滤的级别。 如果已经启用‘最高效率’ ，有害代码将从感染的消 息中移除，原邮件的主题前将插入所感染病毒相关的信 息（删除或清除选项被激活，严格或默认清除级别必须 启用） 。 ‘中等兼容级别’更改了消息收取的方式。邮件会逐步 传输到客户端，全部传输完毕后，才进行扫描。然而这 个监控级别增加了感染的危险。清除和处理标签消息的 级别（将扫描摘要添加到邮件的标题和正文）与最佳效 率选项的设置是一致的。 ‘最大兼容性’中，程序将通过警告窗口提示用户收到 感染病毒的邮件。主题和邮件正文中不会添加感染信 息，同时邮件中的病毒不会被自动移除。感染文件的删 除必须由用户在客户端中完成。 客户端（如果客户端支持）允许您根据特定的主题，设 置过滤器并分拣邮件至特定的文件夹。 4. 1. 2. 3 移除病毒 接收到被感染邮件时系统会显示警告窗口。窗口中显 示了发件人的名称，被感染邮件和病毒的名称。在窗口 的底部，显示针对检测对象的可用操作包括：清除、删 除和离开。我们建议您尽量选择清除或删除，在特殊情 况下，当您需要接收被感染文件，可以选择离开。如果 启用严格清除模式，系统将显示没有可用选项的信息窗 口。 4. 1. 3. 1. 1 拦截和排除的地址 4. 1. 3 Web 访问防护 Internet 连接个人计算机的普遍性， 使它不幸成为恶 意代码传播的主要途径。 因此， Web 防护功能是必要的。 我们强烈建议您激活启用 Web 访问防护选项。该选项 位于‘高级设置（F5）>病毒和间谍软件防护>Web 访 问防护’中。 HTTP 检查设置，允许您创建自定义黑名单列表和白 名单列表。 两个窗口中都包含添加、编辑、移除和导出按钮，允 许您轻松地管理和维护指定地址的列表。如果用户请求 的地址存在于拦截列表中，用户将不可能访问该地址； 另一方面，排除列表中的地址将免受恶意代码检查。在 两表中通配符 *（星号）和？（问号）都可以使用。* 代表任意字符串，？代表任意字符。您应谨慎编辑排除 列表，该列表中应该只能添加可信任的安全地址。同时 还应注意通配符*和？在列表中的正确使用。 4. 1. 3. 1 HTTP Web 访问防护的首要功能， 是根据 HTTP 协议的相关 规则，监控浏览器和远程服务器间的数据通讯。ESET NOD32 安全套装在默认情况下，使用浏览器普遍支持 的 HTTP 标准。 您也可以在这里对 HTTP 监控设置做出 部分修改： ‘Web 访问防护>HTTP‘。在 HTTP 过滤器 设置窗口中， 您可以通过启用 HTTP 检查选项来启用或 禁用 HTTP 检查。 您还可以定义系统的 HTTP 通信端口， 默认状态下端口 80、8080 和 3128 均为 HTTP 端口。 通过使用逗号界定符，添加额外的 HTTP 端口，这些端 口中的 HTTP 流量都会自动被监测和扫描。 4. 1. 3. 1. 2 Web 浏览器 ESET NOD32 安全套装包含网页浏览器支持，通过该 功能用户可以定义哪些程序是浏览器、哪些不是。被用 户指定为浏览器的程序，其所有通讯不分端口，都将受 到监测。 浏览器支持特性是对 HTTP 检查的一种补充，因为 HTTP 检查仅限于预定的端口，而很多 Internet 服务使 用了动态端口或未知端口。为了处理这种情况，浏览器 支持可以忽略连接参数，直接建立对这些端口通信的监 控行为。 步配置，可以立即开始对系统的扫描。自定义扫描允许 用户使用自定义扫描参数，对文件路径中的任一目标进 行扫描。 标记为网页浏览器程序的列表， 可以直接在 HTTP 节点 下 Web 浏览器子菜单中找到。这个部分还包含主动模 式子菜单。通过它可以设置对网络浏览器的检查模式。 主动模式之所以非常有用，是因为它将传输的数据作为 整体来检测。如果没有开启该模式，各个程序的通讯将 逐步分批监测，这样就降低了数据验证过程的效率，但 同时为列表中的程序提供了更好的兼容性。如果使用中 没有遇到问题，我们推荐您通过选中相关程序旁的复选 框来启用活动模式。 4. 1. 4. 1. 1 标准扫描 标准扫描是一种方便用户的扫描方式。它允许用户快 速开始对计算机的扫描，无需用户介入感染文件清除过 程。它的主要优点是容易操作，无需设定细节。标准扫 描检查本地驱动器上的所有文件（不包括电子邮件和压 缩文件） ，并自动清除或删除病毒。清除的级别自动设 定为默认。要了解更多关于清除类型的信息，请看‘清 除’一节。 标准扫描中的预设，是为希望快速简单地运行计算机 扫描的用户而设计的。它提供了有效的扫描和清除方 案，不需要进一步的配置过程。 4. 1. 4. 1. 2 自定义扫描 如果您希望指定包括扫描目标和扫描方式等在内的 扫描参数，自定义扫描是您的最佳选择。自定义扫描的 优势在于，您可以设定详细的扫描参数。您的设置可以 保存为用户定义设置，这在反复使用相同参数进行扫描 的情况下非常有用。 使用自定义模式进行计算机扫描，适用于有使用经验 的高级用户。 4. 1. 4. 2 扫描目标 扫描目标下拉菜单允许您对文件，文件夹或驱动器进 行病毒扫描。 通过使用快捷目标菜单选项，您可以选择如下对象： 本地驱动器- 扫描系统所有硬盘分区 4. 1. 4 计算机扫描 如果您怀疑计算机已经受到了感染（例如行为不正 常） ，请运行手动扫描，检查您的计算机是否存在病毒。 从计算机安全的角度来说，系统扫描不能仅仅在怀疑中 毒时才运行，需要定期进行，并将其作为一种常规安全 措施。定期扫描可以检测到在文件保存过程中实时扫描 没能及时发现的病毒，在计算机受到感染或病毒库不可 用时可能遇到这种情况。 我们推荐您一个月运行按需扫描一到两次，扫描可以 通过‘工具>计划任务‘设定为计划。 4. 1. 4. 1 扫描的类型 扫描共分为两种类型。标准扫描无需对扫描参数进一 可移动媒体- 软盘、USB 存储设备、CD/DVD 网络驱动器- 所有的映射驱动器 4. 1. 5 ThreatSense ® 引擎参数设置 ThreatSense ® 是一种技术的名称， 它由多种威胁检 测方法构成。这项技术是前摄性的，也就是说它在新型 病毒扩散的第一时间内提供保护。这项技术结合了多种 手段（如代码分析，代码模拟、通用特征码、病毒特征 码） ，能够协同工作，从而极大提升系统的安全。该扫 描引擎有能力同时检测多个数据流，让效率和检测率到 达最大化。此外 ThreatSense ® 已经成功的解决了 Rootkit 问题。 ThreatSense ® 技术设置选项， 允许用户指定如下几个 扫描参数： 　 目标文件类型和扩展名 　 综合运用不同扫描手段 　 清除级别等 在任意 ThreatSense ®组件（见下）的设置窗口中，单 击‘设置…’按钮可以进入对 ThreatSense ® 的设置。 不同的安全脚本可能需要不同的设置，考虑到这一点， ThreatSense ® 可以在如下组件中得到独立配置。 　 文件系统实时防护 　 系统启动文件检查 　 电子邮件防护 　 Web 访问防护 　 计算机扫描 ThreatSense ®参数已经针对每个组件高度优化，对 他们的修改将极大地影响系统运行。例如，将参数总是 设置为扫描加壳程序，或在实时文件系统防护中启用高 级启发式扫描，都将导致系统运行缓慢（通常只有新建 文件，才会应用以上扫描方式） 。因此我们推荐您保留 默认设置，不要修改除计算机扫描以外任何组件的 ThreatSense ® 参数。 4. 1. 5. 1 对象设置 对象设置允许您定义对那些文件类型进行病毒扫描。 直接输入目标文件或文件夹路径，可以精确指定扫描对 象。另外系统浏览器中列出了本机所有的可用设备，也 可以在系统浏览器中选择目标。 4. 1. 4. 3 扫描预设 常用计算机扫描参数可以保存为用户自定义设置。这 些预设的配置可以在将来的扫描中重复使用。我们推荐 您经常使用几套设置，就创建几种自定义设置。 转到‘高级设置（F5）>计算机扫描‘ 点击‘配置文 件…’按钮，右侧将显示已有的扫描预设列表和创建选 项。下方的 ThreatSense ®引擎参数设置，描述了扫描 设置中的每个参数，这将帮助您创建适合您自己的扫描 预设。 例如： 设想您要创建属于自己的扫描预设，系统 Smart scan 预设恰好部分适合您。但您并不希望运行对加壳程序和 广告软件类程序的扫描，并希望应用严格清除模式。 在配置文件窗口中点击‘添加’按钮，在配置文件名 中输入您创建的名称，并选从以下配置文件中复制设置 下拉菜单中选择 Smart scan。然后调整剩余参数，直到 适合您的要求。 系统内存-扫描可能感染内存的病毒 引导区-扫描引导区，寻找隐匿在主导区记录 MBR 中的 病毒 文件-提供对所有通用文件类型的扫描（程序、图片、声 音、影视、数据库等文件类型） 邮件文件- 扫描电子邮件文件类型 压缩文件-提供对压缩文件（. rar, . zip, . arj, . tar, 等. ）中 文件的扫描。 自解压文件-扫描自解压文件中的文件， 自解压文件通常 以. exe 后缀名存在。 加壳程序 – 加壳程序（与自解压文件不同）在内存中 解压，包括标准的静态壳（UPX、yoda、ASPack、 FGS 等） 。 4. 1. 5. 2 选项 在选项区域，用户可以选择对系统进行扫毒时使用的方 法。有下选项可用： 藏进程、增加系统资源消耗、改变搜索结果，还有程 序与远程服务器间的通讯等。 4. 1. 5. 3 清除 清除设置将决定扫描器在清除被感染文件时的行为。 有 3 个级别的清除可用： 不清除：感染的文件不会被自动清除。程序会显示警告 窗口，允许用户选择动作。 默认级别：程序将试图自动清除或删除感染文件，如果 自动处理操作不适用，程序将让用户选择接下来的操 作。如果首选操作没能成功完成，程序也会显示接下 来的操作，供用户选择。 严格清除：程序将清除所有的感染文件（包括压缩文 件） 。唯一的例外是系统文件。如果清除没有成功， 用户可以在弹出的警告窗口中选择一个操作。 病毒库- 利用病毒特征码，能够准确、可靠的检测和识 别病毒名称。 启发式扫描-启发式是指一种启发式算法， 它可以分析程 序的恶意行为。启发式的主要优点，在于检测新型恶 意程序的能力，这些程序过去从未出现过，或从未录 入已知的病毒库名单中。 高级启发式扫描-高级启发式结合了一种由 ESET 开发 的独特启发式算法，优化了对高级语言编写的计算机 蠕虫和木马的侦测。 正是由于有了高级启发式， ESET 程序的检测能力高于一般的杀软。 广告软件 / 间谍软件 / 危险软件 –这一类软件包含隐秘 非法收集用户敏感信息的软件，以及显示广告内容的 软件。 潜在的不安全应用程序 –潜在的不安全应用程序是指 一类商业化的合法软件，包括远程访问工具等程序， 这也正是默认状态下禁用对其检测的原因。 潜在不受欢迎的应用程序-潜在不受欢迎的应用程序并 不一定是有害的。但它们计算机的性能可能产生负面 影响。这类程序通常会在安装前征求用户同意。但安 装后系统运行效率 （与安装前相比） 可能会受到影响， 最常见的是弹出让人讨厌的广告窗口、激活并运行隐 警告：在默认状态下，只有内部文件全部被感染的压缩 文件才会被删除。只要文件中仍然存在合法文件，该 压缩文件就不会被删除。如果在严格清除模式下，发 现被感染的压缩文件，整个压缩文件都将被删除，即 使其中仍存在合法文件。 4. 1. 5. 4 扩展名 扩展名是文件名的一部分被英文句点隔开。扩展名定 义了文件的类型和内容。在 ThreatSense ®引擎的扫描 参数设置部分，允许用户自定义扫描的文件类型。 默认情况下文件扫描时，会忽略文件扩展名。任何扩展 名都可以被添加到排除扫描列表。如果扫描所有文件的 选项未选中，列表将转而显示所有目前已扫描过的扩展 名。通过添加和移除按钮您可以允许或禁用针对特定扩 展名的扫描。 选中扫描无扩展名文件选项，将允许扫描不存在扩展 名的文件。如果对某一类型文件的扫描，导致使用该类 型文件的应用程序运行不正常，这种情况下请在扫描中 排除相关文件扩展名。例如：在运行 MS Exchange 服 务程序时，在扫描中设置排除包括. edb、. eml 和. tmp 在 内的扩展名是非常明智的。 清除与删除 当合法文件受到病毒攻击，并被感染了有害代码时，首 选尝试清除感染文件，来恢复文件到正常状态。如果文 件中只包含有恶意代码，则系统会将其删除。 删除压缩文件中的文件 在默认清除模式下，只有内部文件全部被感染时压缩 文件才会被删除。换言之，只要文件中仍然存在合法文 件，该压缩文件就不会被删除。需要注意的是，在严格 清除模式下，系统将忽略文件中的其它文件，只要有一 个被感染文件，该压缩文件即被删除。 4. 1. 6 发现病毒 病毒可能自不同的渠道进入系统：网页、共享文件夹、 电邮、远程计算机设备（USB 外接存储盘，CD，DVD， 软盘等） 。 如果您的系统表现出感染恶意软件的迹象，例如：运行 缓慢，经常死机等，我们推荐您进行以下操作： 　 打开 ESET NOD32 安全套装，单击计算机扫描 　 单击标准扫描（详情参照标准扫描） 　 在扫描完成后，浏览日志，查看扫描文件数、感染 文件数及清除文件数。 如果您只想扫描磁盘的某个部分，请点击自定义扫描并 选择扫描对象。 举例说明 ESET NOD32 安全套装处理病毒的过程： 设想实时文件监控在默认清除级别下已经检测到病毒， 它将试图清除或删除文件。如果预置中没有定义操作选 项，将弹出消息窗口请用户选择。通常可用选项包括清 除、删除和离开。我们不推荐选择离开，因为这样感染 的文件将得不到处理。例外的情况也有，例如当您十分 确信文件是无害的，并被错误的识别为病毒。 4. 2 个人防火墙 个人放火墙用来控制整个网络中进出系统的所有通讯。 这是根据确定的过滤规则，通过允许或拦截网络连接来 实现的。防火墙提供了对远程攻击的防护，并允许某些 服务访问网络， 同时还为 HTTP 及 POP3 协议提供了病 毒防护的基础。这些功能是计算机安全中不可或缺的一 部分。 4. 2. 1 过滤模式 ESET NOD32 安全套装防火墙有三种模式可选。防火 墙的行为将根据所选的模式发生变化。过滤模式同时影 响程序与用户交互的程度。 过滤可以运行在以下三种模式： ▪ 自动模式是默认模式。适合注重简单、易用的用户， 防火墙的使用中无需设置规则，自动模式允许特定系统 的所有出站连接，拦截由网络端发起的所有新的主动连 接。 ▪ 交互模式允许您为防火墙量身定制网络配置。当防火 墙检测到通讯，而现存的规则中没有定义该通讯时，防 火墙将显示对话窗口，报告未知的网络连接。窗口中同 时给出了允许和拒绝的选项，用户的选择以新建规则的 形式被防火墙记住。如果用户此时选择创建新规则，以 后所有相同连接都会根据这一规则得到允许或拒绝。 ▪ 基于策略的模式将阻止所有未在规则中定义为允许的 连接。这一模式让高级用户可以仅允许需要的和安全的 连接。所有其它未定义连接都将被个人防火墙阻止。 4. 2. 2 拦截所有通讯：断开网络 阻止所有网络通信：断开网络连接选项是唯一可以确定 拦截所有连接的选项，任何出入站连接都会被个人防火 墙所拦截而不给出任何提示。只有在您怀疑系统中存在 严重的安全风险、需要迫使系统立即离线时，才有必要 使用该选项。 则，下半部分显示了当前所选规则的详细情况。允许用 户配置规则的新建、编辑和删除按钮则位于窗口的最底 部。 如果从通讯的方向来考虑，连接可以分为入站连接和出 站连接两类。入站连接是由远程主机发起的，试图与本 地系统建立连接。出站连接工作的方式恰好相反，由本 地计算机连接一台远程计算机。 如果发现新的未知通讯，您必须谨慎考虑是否允许或拒 绝该连接。未经请求的、不安全的、情况不明的连接会 对系统的安全构成威胁。如果有此类连接成功建立，我 们建议您特别注意远程一方的地址等信息，以及试图进 入您系统的应用程序。很多病毒都会尝试发送隐私数据 或下载其他有害代码到工作站。个人防火墙允许用户检 测和终止这些连接。 4. 2. 3 禁用过滤允许所有通信 4. 2. 4. 1 新建规则 禁用过滤选项与前面提到的阻止所有网络通信功能恰 好相反。如果选中，个人防火墙中所有的过滤选项都会 被关闭，并允许所有出入站连接。从网络方面来看，此 时的防火墙形同虚设。 当安装访问网络的新程序时，或对已存在的连接进行修 改（远程端口等）时，需要创建新的规则。 4. 2. 4 配置和使用规则 规则代表了一整套用来判断所有网络连接的条件，以及 与条件相对应的动作所组成的集合。在个人防火墙中您 可以设置规则，定义某个连接建立后，防火墙应采取的 动作。 转至高级设置（F5）>个人防火墙>‘规则和区域’可以 显示当前的配置。在规则和区域编辑区中单击‘设置’ 进入规则设置。 （如果防火墙工作在自动过滤模式下， 这些选项将不可用。 ） 确认您已选择规则选项卡，然后在‘规则和区域’设置 窗口中点击新建按钮，程序将弹出允许指定新规则的新 对话框。窗口的顶部包括三个选项卡： 　 常规：指定规则的名称、方向、动作和协议。方向 可以是入站或出站（或者出入站） ，动作表示允许或拦 截指定的连接。 　 本地：显示本地的连接。包括本地端口的数目和范 围，以及通讯的程序名称。 　 远程：此选项卡包含远程端口的相关信息（端口范 围） ，同时允许用户为规则设定一组远程地址或域。 在‘规则和区域’的设置窗口中会显示对当前的规则或 域的摘要（取决于您当前所在的选项卡） 。这个窗口可 以被分为两个部分：窗口的上半部简要列出了所有规 4. 2. 6 创建连接-侦测 个人防火墙能够侦测所有创建的网络连接。防火墙当前 运行模式（自动，交互，基于策略）决定了新规则将采 取的动作。在自动或基于策略为当前模式时，防火墙将 执行预置动作，无需用户干涉。 交互模式将显示一个信息窗口，报告检测到的新网络连 接和关于该连接的相关信息。用户可以允许或拒绝（拦 截）该连接。如果您在对话框中总是反复的允许同一连 接，我们建议您为该连接创建规则。您可以通过选择记 住操作（创建规则） 选项，将该动作作为新的防火墙 规则保存。如果将来防火墙检测到相同的连接，它将自 动应用此规则。 添加规则的一个很好实例就是允许 Internet 浏览器接入 网络。此时需要提供以下信息： 　 在通用选项卡中，允许通过 TCP & UDP 协议的出 站通讯 　 在本地选项卡中添加代表您浏览器的进程（例如： 对于 Internet Explorer，就是 iexplore. exe ） 　 如果您希望允许标准的 www 服务，在远程选项卡 中只启用 80 端口即可。 4. 2. 4. 2 编辑规则 选择编辑按钮可以编辑选定的规则。上面提到的所有参 数（新建规则一章中提到的）都可以得到修改。 每当监控参数发生改变时，都有必要修改规则。因为假 使规则不符合当前情况，相应的动作也就无法应用，指 定的连接也可能被拒绝。这可能导致某些程序运行中出 现问题，例如远端更换网络地址或连接端口等。 请谨慎创建新的规则，并只允许安全的连接。如果允许 了所有的连接，个人防火墙将形同虚设。以下是连接的 参数： 　 远程：只允许连接到已知的信任地址 　 应用程序：允许未知程序或进程连接网络是不明智 的 　 端口：经由公共端口（例如：Web 端口 80）的通 讯通常是安全的 4. 2. 5 区域的设置 区域代表一系列的网络地址的集合，这些地址构成了一 个逻辑组。指定组中的每个地址都被分配相同的规则， 这些规则是集中为组设置的。信任域就是组的一个例 子。信任域代表一组被用户信任且不受防火墙拦截的网 络地址。 这些区域可以在‘区域与规则’设置窗口内的‘区域’ 选项卡进行设置。点击新建按钮，在新开的窗口中输入 域的名称、描述和一组网络地址。 病毒为了达到扩散目的，经常利用 Internet 隐秘连接感 染远程系统。正确配置的防火墙将成为阻止有害代码攻 击、防护系统的有力工具。 4. 2. 7 日志 ESET NOD32 安全套装个人防火墙日志能够记录所有 的重要事件。您可以直接在主菜单中单击工具>日志文 件，在下拉菜单中选择 ESET 个人防火墙日志查看。 日志是发现错误和识别系统攻击的有力工具，应该得到 合理的重视。 ESET 个人防火墙日志文件包含以下数据： 　 　 　 　 　 　 事件发生的日期和时间 事件的名称 来源和目标地址 网络通讯协议 规则和蠕虫名称（如果能成功识别） 应用程序 垃圾邮件检测遵循的重要规则之一，就是通过预设受信 地址名单（白名单）和垃圾邮件地址名单（黑名单） ， 有效识别垃圾邮件的能力。您电子邮件客户端中的所有 联系人地址，以及用户标记为安全的信箱地址，将自动 加入白名单。 检测垃圾邮件主要的方法，是对电子邮件信息属性进行 扫描。收到的邮件将通过基本的反垃圾邮件规则（电文 定义、统计启发式判断原理、识别算法以及其他的独特 方法）进行扫描，得出的综合指数将用来判定是其否为 垃圾邮件。 本产品对垃圾邮件的过滤同时使用贝叶斯过滤技术。用 户在标记垃圾邮件与否的同时，建立了相关类别的词汇 数据库。数据库越大，得出的过滤结果就越准确。 上述方法的综合运用，使得本产品提供很高的垃圾邮件 识别率。 ESET NOD32 安全套装支持对 Microsoft Outlook ， Outlook Express 和 Windows Mail 的垃圾邮件防护。 对这些数据的深入分析将有助于找出危及系统安全的 企图。很多其它的因素也有助于分析潜在的安全风险 （例如来自某未知地址过于频繁的连接、多次尝试建立 连接、未知程序的网络通讯、使用异常的端口等)，使用 户将这些风险降至最低。 4. 3. 1 垃圾邮件启发式判断技术 垃圾邮件启发式判断技术指的是上面提到的贝叶斯过 滤技术。该技术能够在用户标记垃圾邮件与否的同时， 根据重要单个字词的变化，学习领会并协助判断垃圾邮 件。因此，用户标记更多的邮件是否为垃圾邮件，贝叶 斯过滤的结果就越准确。 将已知联系人地址加入白名单，能够避免来自这些地址 的邮件被过滤掉。 4. 3. 1. 1 将地址加入白名单 与用户频繁通信的联系人地址可以加入安全地址列表 （白名单） 。加入白名单的地址发出的邮件，不会标记 4. 3 反垃圾邮件 如今，广告推介邮件，即垃圾邮件，已成为电子通信行 业最大的问题之一， 占据着整个电子邮件通讯量的 80% 以上。垃圾邮件防护模块正是解决这一问题的有效解决 方案，通过一些极其有效的预订规则，能够对垃圾邮件 达到出色的过滤效果。 为垃圾邮件。添加邮件地址到白名单的方法是，右键单 击该邮件，在出现的 ESET NOD32 安全套装菜单选项 中选择‘添加到白名单’ ；也可以在邮件客户端程序上 方 ESET NOD32 安全套装反垃圾邮件工具条中，点击 ‘受信任地址’ 。使用类似的方法，也可以添加邮件地 址到黑名单。列入黑名单的邮件地址所发出的邮件，都 会标记为垃圾邮件。 4. 3. 1. 2 标记垃圾邮件 您邮件客户端收到的任何邮件，都可以标记为垃圾邮 件。标记垃圾邮件的方法是，右键单击该邮件，在出现 的菜单选项中点击 ESET Smart Security > ‘将所选 邮件重新分类为垃圾邮件’也可以在邮件客户端中的 ESET Smart Security 反垃圾邮件工具条中，点击‘垃 圾邮件’即可。 默认状态下，计划任务中显示以下排程： 　 　 　 　 　 定期自动更新 拨号连接后自动更新 用户登录后自动更新 自动启动文件检查 自动启动文件检查 编辑现有计划任务时（默认和用户自定义） ，右键点击 任务选择‘编辑…’ ，或者选中需要编辑的任务，点击 ‘编辑…’按钮。 4. 4. 1 计划任务的目的 计划任务能够按照预先的配置和属性信息，管理和执 行任务排程。配置和属性信息包括诸如日期、时间、自 定义扫描方面的设置信息，以便在执行任务时调用。 4. 4. 2 新建任务 重新归类为垃圾邮件的信息会自动转移到‘垃圾邮件’ 文件夹，但发信人的邮件地址并不会添加到黑名单中。 采用类似的方法，也可以将某邮件归类为‘非垃圾邮 件’ 。如果将垃圾邮件夹中的邮件归类为非垃圾邮件， 该邮件会自动转移到原始文件夹。将某封邮件标记为非 垃圾邮件时，不会自动添加发信人到白名单中。 在‘计划任务’中新建任务，请点击‘添加…’按钮， 或者右键点击从右键菜单中选择‘添加…’ 。计划任务 共有四种类型供选择： 　 运行外部应用程序 　 系统启动文件检查 　 手动扫描计算机 　 更新 4. 4 计划任务 开启 ESET NOD32 安全套装高级模式进入计划任务 设置。计划任务在 ESET NOD32 安全套装主菜单‘工 具’栏下。 计划任务列表中可以看到所有排程任务以 及相关的属性配置信息，例如预设任务的日期、时间和 自定义扫描选项。 由于手动扫描计算机和程序更新是最常用到的任务 排程，在此举例说明如何添加更新任务。 从计划任务下拉菜单中选择‘更新’ ，点击‘下一步’ 并在‘任务名称’一栏中输入任务名称。接下来选择任 务的执行频率，分为以下几种选项：只一次、重复执行、 每日、每周和事件触发。根据选择的不同频率，您需要 输入相应的更新参数。下一步选择当任务在预定时间无 法执行时， 应当采取的行动， 有以下三个选项可供选择： 　 延至下次预定时间 　 尽快执行任务 　 如果自上次执行任务至今已超过指定时间间隔则 立即执行任务 点击下一步，出现关于该任务配置信息的预览窗口， 以特定参数执行任务会自动得到启用。单击完成按钮。 出现选择通过自定义属性执行任务排程的对话框。这 里您可以指定主任务属性或可选任务属性，后者是在主 任务属性无法执行的情况下运行。在更新配置文件窗口 点击确定，新建排程任务将会添加到当前排程任务列表 中。 储存在隔离文件夹中的文件，可以以表格的形式查 阅，列出了隔离的日期和时间、染毒文件原来的路径、 文件字节数大小、隔离原因（用户添加） 、感染病毒的 数量（如压缩包，包含多个感染文件）等等。 4. 5. 1 隔离文件 删除的有毒文件，程序会自动隔离起来（如果您没有 取消报警提示框中相关选项的话） 。如有必要，您也可 以点击‘添加…’按钮，手动隔离任意可疑文件。手动 操作时，原始文件并不会从原来的地址移除。隔离操作 也可以通过右键菜单的形式实现，即在隔离窗口中右键 单击选择‘添加…’ 。 4. 5. 2 恢复隔离文件 隔离文件也可以恢复到原始位置。 恢复时请使用 ‘恢复’ 功能，具体是在隔离窗口中右键点击相关文件，在右键 菜单中选择‘恢复’ 。右键菜单同时提供了‘恢复到’ 选项，通过此选项您可以将文件恢复到原始删除地址以 外的路径。 注意： 如果程序错误地隔离了无害文件，请在恢复后将此文件 添加到信任区域，以排除防毒组件对其进一步扫描，并 上报文件样本到 ESET 客户服务中心。 4. 5 隔离 隔离的主要任务是将受感染的文件安全储存起来。如 果染毒文件不能清除，或者不能、不便删除的话，以及 ESET NOD32 安全套装出现误报等的情况，应当隔离 起来。 用户可以选择任意文件进行隔离。这种情况尤其适用 于扫描引擎无法检测到、但却有可疑行为的文件。隔离 文件可以上报给 ESET 病毒实验室， 进行进一步地分析。 4. 5. 3 提交隔离文件 如果您隔离了程序未检测到的可疑文件，或者文件因 为程序误报（比如通过启发式代码分析）遭到隔离，请 上报文件样本到 ESET 病毒实验室。 从隔离区中上报文 件，请右键点击该文件，从右键菜单中选择‘提交文件 进行分析’ 。 不同种类的日志所显示的信息，都可以通过选择事件 并点击‘复制’按钮的方式，拷贝到剪贴板中。您可以 使用 CTRL 和 SHIFT 键选择多项事件。 4. 6. 1 日志维护 ESET NOD32 安全套装中日志的配置可以从程序主 界面进入。点击设置>进入高级设置界面>工具>日志文 件。日志文件的配置有以下选项： 　 自动删除记录: 自动删除储存超过特定天数的日志 记录。 　 自动优化日志文件: 未使用记录超过特定的百分 比，则允许自动整理日志文件占用的磁盘碎片。 　 最低日志记录级别: 规定日志记录的对象级别，选 项有： 关键错误 – 仅记录严重错误（无法启动杀毒防护 等） 错误 – 仅记录‘文件下载错误’的信息，同时包 括‘严重错误’ 警告 – 记录严重错误和警告信息 信息记录 – 记录通知信息，包括成功更新信息和 上述所有记录信息 诊断记录 – 记录协助微调程序设置的相关信息， 同时包括上述所有记录信息 4. 6 日志文件 日志文件记录了程序所有的重要事件，并提供已检测 到威胁的综合信息。日志记录是进行系统分析、威胁检 测和故障诊断的必要工具。日志的记录过程在后台静默 运行，无需用户干预。日志记录的内容是按照具体设置 而定的，用户可以从 ESET NOD32 安全套装界面中， 直接查阅文本信息、日志和进行压缩历史日志的操作。 日志文件可以从 ESET NOD32 安全套装主窗口打 开，方法是点击‘工具’> 日志文件。使用窗口顶端的 日志下拉菜单选择需要查看的日志种类。日志分为以下 类型： 1. 检测到的威胁：使用这一选项查看关于病毒检测的 所有相关事件。 2. 事件 – 该选项是为协助系统管理员和用户解决 问题而设计的。ESET NOD32 安全套装的所有重要行 为都在事件日志中记录。 3. [. . . ]