ESET Endpoint Antivirus 8 for Linux

(1)

ESET Endpoint Antivirus 8 for Linux

Nutzerhandbuch

Klicken Sie hier, um die Onlinehilfe-Version dieses Dokuments anzuzeigen

(2)

ESET Endpoint Antivirus 8 for Linux wurde von ESET, spol. s r.o. entwickelt.

Nähere Informationen ﬁnden Sie unter www.eset.com.

Alle Rechte vorbehalten. Kein Teil dieser Dokumentation darf ohne schriftliche Einwilligung des Verfassers reproduziert, in einem Abrufsystem gespeichert oder in irgendeiner Form oder auf irgendeine Weise weitergegeben werden, sei es elektronisch, mechanisch, durch Fotokopien, Aufnehmen, Scannen oder auf andere Art.

ESET, spol. s r.o. behält sich das Recht vor, ohne vorherige Ankündigung an jedem der hier beschriebenen Software-Produkte Änderungen vorzunehmen.

Support: www.eset.com/support Versionsstand 25.10.2021

(3)

1 Einführung ... 1

1.1 Wichtige Systemfunktionen ... 1

2 Systemanforderungen ... 1

2.1 Secure Boot ... 3

3 Installation ... 5

3.1 Deinstallation ... 6

3.2 Massenhafte Bereitstellung ... 7

4 Update, Upgrade ... 11

4.1 Update-Mirror ... 14

5 ESET Endpoint Antivirus 8 for Linux aktivieren ... 15

5.1 Wo ﬁnde ich meine Lizenz? ... 16

5.2 Aktivierungsstatus ... 16

6 Arbeiten mit ESET Endpoint Antivirus 8 for Linux ... 16

6.1 Benutzeroberﬂäche ... 17

6.2 Scans ... 18

6.2.1 Ausschlussﬁlter ... 20

6.3 Quarantäne ... 22

6.4 Ereignisse ... 23

6.5 Benachrichtigungen ... 25

7 Konﬁguration ... 25

7.1 Malware Scan Engine ... 26

7.1.1 Ausschlussﬁlter ... 27

7.1.2 Echtzeit-Dateischutz ... 28

7.1.3 ThreatSense-Parameter ... 29

7.1.3.1 Zusätzliche ThreatSense-Parameter ... 32

7.1.4 Cloudbasierter Schutz ... 32

7.1.5 Malware-Prüfungen ... 35

7.1.6 Shared local cache ... 36

7.2 Update ... 36

7.3 Medienkontrolle ... 37

7.3.1 Regel-Editor für die Medienkontrolle ... 38

7.3.2 Gerätegruppen ... 40

7.3.3 Hinzufügen von Regeln für die Medienkontrolle ... 40

7.4 Tools ... 42

7.4.1 Proxyserver ... 42

7.4.2 Log-Dateien ... 43

7.5 Benutzeroberﬂäche ... 44

7.5.1 Anwendungsstatus ... 45

8 Remoteverwaltung ... 45

9 Beispielanwendungsfälle ... 45

9.1 Modulinformationen abrufen ... 45

9.2 Scan planen ... 46

10 Datei- und Ordnerstruktur ... 47

11 Fehlerbehebung ... 49

11.1 Logs sammeln ... 49

11.2 Verwenden des noexec-Flags ... 50

11.3 Echtzeit-Schutz kann nicht gestartet werden ... 51

12 Glossar ... 52

13 Endbenutzer-Lizenzvereinbarung ... 52

(4)

14 Datenschutzrichtlinie ... 61

(5)

Einführung

Die leistungsstarke ESET-Erkennungsroutine bietet eine beispiellose Scangeschwindigkeit und herausragende Erkennungsraten in Kombination mit minimalem Ressourcenverbrauch.

Damit ist ESET Endpoint Antivirus 8 for Linux (EEAU) die ideale Wahl für alle Linux-Desktops, die die Systemanforderungen erfüllen.

Die Hauptfunktionen werden vom On-Demand-Scanner und vom Echtzeit-Scanner abgedeckt.

Der On-Demand-Scanner kann von privilegierten Benutzern (normalerweise ein

Systemadministrator) in der Befehlszeile, ESET PROTECT oder durch das Scheduling-Tool des Betriebssystems (z. B. cron) gestartet werden. Der Begriﬀ On-Demand bezieht sich auf

Dateisystemobjekte, die aufgrund von Benutzer- oder Systemanforderungen gescannt werden.

Der Echtzeit-Scanner wird bei jedem Zugriﬀsversuch auf Dateisystemobjekte aufgerufen.

Wichtige Systemfunktionen

• Echtzeit-Scan mit dem ressourcenschonenden ESET-Kernelmodul

• Umfassende Scan-Logs

• Neu gestaltete, benutzerfreundliche Einrichtung

• Quarantäne

• Desktophinweise

• Verwaltbar mit ESET PROTECT

• Cloudbasierter Schutz

Systemanforderungen

Hardwareanforderungen

Hardwaremindestanforderungen, die vor der Installation erfüllt sein müssen, um ESET Endpoint Antivirus 8 for Linux korrekt ausführen zu können:

• Prozessor: Intel/AMD x64

• 700 MB freier Speicherplatz auf der Festplatte

(6)

Softwareanforderungen

Die folgenden 64-Bit-Betriebssysteme wurden getestet und werden oﬃziell unterstützt:

• Ubuntu Desktop 18.04 LTS 64-bit

• Ubuntu Desktop 20.04 LTS

• Red Hat Enterprise Linux 7, 8 mit installierter unterstützter Desktopumgebung.

• SUSE Linux Enterprise Desktop 15

AWS-Kernel

Linux-Distributionen mit AWS-Kernel werden nicht unterstützt.

Unterstützte Anzeigeserver:

• X11

• Wayland

Unterstützte Desktopumgebungen:

• GNOME 3.28.2 und höher

• KDE

• XFCE

Beliebiges Gebietsschema mit UTF-8-Encoding

Die Benutzeroberﬂäche und die Befehlsliste im Terminalfenster sind in den folgenden Sprachen verfügbar:

• Englisch

• Deutsch

• Spanisch

• Spanisch (Lateinamerika)

• Französisch

• Polnisch

• Japanisch

Wenn das Host-BS eine nicht unterstützte Sprache verwendet, wird standardmäßig Englisch verwendet.

(7)

Remoteverwaltung mit ESET PROTECT

ESET Endpoint Antivirus 8 for Linux ist auch kompatibel mit ESET PROTECT v7.1 und höher.

Secure Boot

Um den Echtzeit-Dateischutz auf einem Computer mit aktiviertem Boot nutzen zu können, muss das ESET Endpoint Antivirus 8 for Linux-Kernelmodul (EEAU) mit einem privaten Schlüssel signiert werden. Der zugehörige öﬀentliche Schlüssel muss in UEFI importiert werden. EEAU Version 8.1 enthält ein integriertes Signierskript, das im interaktiven oder im nicht-interaktiven Modus ausgeführt werden kann.

Mit dem Hilfsprogramm mokutil können Sie überprüfen, ob Secure Boot auf dem Computer aktiviert ist. Führen Sie den folgenden Befehl als privilegierter Benutzer in einem

Terminalfenster aus:

mokutil --sb-state

Interaktiver Modus

Wenn Sie keinen öﬀentlichen und privaten Schlüssel zum Signieren des Kernelmoduls haben, können Sie mit de interaktiven Modus neue Schlüssel generieren, das Kernelmodul signieren und die generierten Schlüssel in UEFI registrieren.

1. Führen Sie den folgenden Befehl als privilegierter Benutzer in einem Terminalfenster aus:

/opt/eset/eea/lib/install_scripts/sign_modules.sh

2. Wenn das Skript Sie nach Ihren Schlüsseln fragt, drücken Sie die Taste n und anschließend die Eingabetaste.

3. Wenn Sie gefragt werden, ob Sie neue Schlüssel generieren möchten, drücken Sie die Taste y und dann die Eingabetaste. Das Skript signiert das Kernelmodul mit dem generierten privaten Schlüssel.

4. Um den generierten öﬀentlichen Schlüssel halbautomatisch in UEFI zu registrieren, drücken Sie die Taste y und dann die Eingabetaste. Um die Registrierung manuell zu abschließen, drücken Sie die Taste n und dann die Eingabetaste und folgen Sie den Anweisungen auf dem Bildschirm.

5. Geben Sie ein Passwort Ihrer Wahl ein, wenn Sie dazu aufgefordert werden. Merken Sie sich das Passwort unbedingt, denn Sie brauchen es, um den neuen Computereigentümerschlüssel (Machine Owner Key, MOK) in UEFI zu registrieren.

6. Drücken Sie die Taste y, um die generierten Schlüssel zur späteren Verwendung auf der Festplatte zu speichern. Geben Sie den Pfad zu einem Verzeichnis ein und drücken Sie die Eingabetaste.

7. Um den Computer neu zu starten und UEFI zu öﬀnen, drücken Sie die Taste y, wenn Sie dazu

(8)

aufgefordert werden, und anschließend die Eingabetaste.

8. Drücken Sie nach der Auﬀorderung innerhalb von 10 Sekunden eine beliebige Taste, um UEFI zu öﬀnen.

9. Wählen Sie MOK registrieren aus und drücken Sie die Eingabetaste.

10. Wählen Sie Fortfahren aus und drücken Sie die Eingabetaste.

11. Wählen Sie Ja aus und drücken Sie die Eingabetaste.

12. Geben Sie das Passwort aus Schritt 5 ein und drücken Sie die Eingabetaste, um die Registrierung abzuschließen und den Computer neu zu starten.

Nicht-interaktiver Modus

Verwenden Sie diesen Modus, wenn Sie auf dem Zielcomputer bereits einen privaten und einen öﬀentlichen Schlüssel haben.

Syntax: /opt/eset/eea/lib/install_scripts/sign_modules.sh [OPTIONS]

Optionen -

Kurzform Optionen - Langform Beschreibung

-d --public-key Der Pfad zu einem öﬀentlichen Schlüssel im DER-Format, den Sie zum Signieren verwenden möchten

-p --private-key Der Pfad zum privaten Schlüssel, den Sie zum Signieren verwenden möchten

-k --kernel

Der Name des Kernels, dessen Module Sie signieren möchten.

Falls nicht angegeben, wird standardmäßig der aktuelle Kernel ausgewählt.

-a --kernel-all Kernelmodule in allen vorhandenen Kernels signieren (und erstellen), die Header enthalten

-h --help Hilfe anzeigen

1. Führen Sie den folgenden Befehl als privilegierter Benutzer in einem Terminalfenster aus:

/opt/eset/eea/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key>

Ersetzen Sie <path_to_private_key> und <path_to_public_key> durch den Pfad zum privaten bzw. zum öﬀentlichen Schlüssel.

2. Falls der angegebene öﬀentliche Schlüssel noch nicht in UEFI registriert ist, führen Sie den folgenden Befehl als privilegierter Benutzer aus:

mokutil --import <path_to_public_key>

<path_to_public_key> represents the provided public key.

3. Starten Sie den Computer neu, öﬀnen Sie UEFI und wählen Sie MOK registrieren > Weiter >

Ja aus.

(9)

Mehrere Geräte verwalten

Angenommen, Sie verwalten mehrere Computer, die denselben Linux-Kernel verwenden und denselben öﬀentlichen Schlüssel in UEFI registriert haben. In diesem Fall können Sie das EEAU-Kernelmodul auf einem der Computer mit dem privaten Schlüssel signieren und das signierte Kernelmodul anschließend auf die anderen Computer übertragen. Gehen Sie nach dem Signieren wie folgt vor:

1. Kopieren Sie das signierte Kernelmodul unter /lib/modules/<kernel-

version>/eset/eea/eset_rtp und fügen Sie es unter demselben Pfad auf den Zielcomputern ein.

2. Rufen Sie depmod <Kernelversion> auf den Zielcomputern auf.

3. Starten Sie ESET Endpoint Antivirus 8 for Linux auf dem Zielcomputer neu, um die

Modultabelle zu aktualisieren. Führen Sie den folgenden Befehl als privilegierter Benutzer aus:

systemctl restart eea

Ersetzen Sie die <Kernelversion> in allen Fällen durch die entsprechende Kernelversion.

Installation

ESET Endpoint Antivirus 8 for Linux wird als Binärdatei verteilt (.bin).

Betriebssystem aktualisieren

Installieren Sie die aktuellsten Updates für Ihr Betriebssystem, bevor Sie ESET Endpoint Antivirus 8 for Linux installieren.

Terminal-Installation

Um Ihr Produkt zu installieren oder zu aktualisieren, führen Sie das ESET-Distributionsskript mit root- Berechtigungen für Ihre jeweilige BS-Distribution aus:

• ./eea-<VERSION>.x86_64.bin

• sh ./eea-<VERSION>.x86_64.bin

Führen Sie den folgenden Befehl in einem Terminalfenster aus, um die verfügbaren

Parameters (Argumente) für die ESET Endpoint Antivirus 8 for Linux-Binärdatei anzuzeigen:

./eea-<VERSION>.x86_64.bin -h

Verfügbare Parameter

Kurzform Langform Beschreibung

-h --help Befehlszeilenargumente anzeigen

-n --no-install Nach dem Entpacken keine Installation durchführen -y --accept-license Lizenz nicht anzeigen, Lizenz wurde akzeptiert

-f --force-install Installation per Paket-Manager ohne Nachfrage erzwingen -u --unpack-ertp-sourcesQuellen des Kernelmoduls für den ESET Echtzeit-Dateischutz

entpacken, keine Installation ausführen

(10)

.deb-Installationspaket abrufen

Um das passende .deb-Installationspaket für Ihr BS abzurufen, führen Sie das ESET- Distributionsskript mit dem Befehlszeilenargument „-n“ aus:

sudo ./eea-<VERSION>.x86_64.bin -n

oder

sudo sh ./eea-<VERSION>.x86_64.bin -n

Um die Abhängigkeiten des Installationspakets anzuzeigen, führen Sie einen der folgenden Befehle aus:

• dpkg -I <deb package>

• rpm -qRp <rpm package>

Folgen Sie den Anweisungen auf dem Bildschirm. Akzeptieren Sie die Produktlizenzvereinbarung, um die Installation abzuschließen.

Eventuelle Abhängigkeitsprobleme werden im Installationsprogramm angezeigt.

Installation über ESET PROTECT

Weitere Informationen zur Remotebereitstellung von ESET Endpoint Antivirus 8 for Linux auf Ihren Computern ﬁnden Sie in der Onlinehilfe zur ESET PROTECT-Software-Installation.

Aktivieren Sie ESET Endpoint Antivirus 8 for Linux, um reguläre Updates der Erkennungsmodule zu aktivieren.

Apps von Drittanbietern

Sie ﬁnden eine Liste der von ESET Endpoint Antivirus 8 for Linux verwendeten Apps von Drittanbietern in der Datei NOTICE_mode unter /opt/eset/eea/doc/modules_notice/.

Deinstallation

Um Ihr ESET-Produkt zu deinstallieren, führen Sie den Befehl zum Entfernen der Pakete für Ihre Linux-Distribution als Superuser in einem Terminalfenster aus.

Ubuntu/Debian-basierte Distributionen:

• apt remove eea

Red Hat-basierte Distributionen:

• yum remove eea

• rpm -e eea

(11)

Massenhafte Bereitstellung

Dieser Abschnitt enthält eine Übersicht über die massenhafte Bereitstellung von ESET Endpoint Antivirus 8 for Linux mit Puppet, Chef und Ansible. Die folgenden Codeblocks enthalten lediglich einfache Beispiele für die Installation der Pakete und müssen je nach Linux-Distribution angepasst werden.

Paketauswahl

Bevor Sie mit der massenhaften Bereitstellung von ESET Endpoint Antivirus 8 for Linux beginnen, müssen Sie entscheiden, welches Paket Sie verwenden möchten. ESET Endpoint Antivirus 8 for Linux wird als .bin-Paket verteilt. Sie können jedoch das deb/rpm-Paket abrufen indem Sie das ESET-Distributionsskript mit dem Befehlszeilenargument „-n“ ausführen.

Puppet

Voraussetzungen

• bin- oder deb/rpm-Paket auf puppet-master verfügbar

• puppet-agent ist mit puppet-master verbunden

Bin-Paket

Bereitstellungsschritte:

• Kopieren Sie das Installationspaket auf die gewünschten Computer.

• Führen Sie das bin-Installationspaket aus.

Beispiel für Puppet-Manifest

node default {

file {"/tmp/eea-8.0.1081.0.x86_64.bin":

mode => "0700", owner => "root", group => "root",

source => "puppet:///modules/eea/eea-8.0.1081.0.x86_64.bin"

}

exec {"Execute bin package installation":

command => '/tmp/eea-8.0.1081.0.x86_64.bin -y -f' }

}

Deb/rpm package

• Kopieren Sie das deb/rpm-Installationspaket für die passende Distributionsfamilie auf die gewünschten Computer.

(12)

• Führen Sie das deb/rpm-Installationspaket aus.

Abhängigkeiten

Abhängigkeiten müssen vor der Installation aufgelöst werden.

Beispiel für Puppet-Manifest

node default {

if $osfamily == 'Debian' {

file {"/tmp/eea-8.0.1081.0.x86_64.deb":

source => "puppet:///modules/eea/eea-8.0.1081.0.x86_64.deb"

}

package {"eea":

ensure => "installed", provider => 'dpkg',

source => "/tmp/eea-8.0.1081.0.x86_64.deb"

} }

if $osfamily == RedHat {

file {"/tmp/eea-8.0.1081.0.x86_64.rpm":

source => "puppet:///modules/eea/eea-8.0.1081.0.x86_64.rpm"

}

package {"eea":

ensure => "installed", provider => 'rpm',

source => "/tmp/eea-8.0.1081.0.x86_64.rpm"

} }

}

Chef

Voraussetzungen

• bin- oder deb/rpm-Paket auf Chef-Server verfügbar

• Chef-Client ist mit Chef-Server verbunden

Bin-Paket

(13)

Beispiel für Chef-Recipe

cookbook_file '/tmp/eea-8.0.1084.0.x86_64.bin' do source 'eea-8.0.1084.0.x86_64.bin'

owner 'root' group 'root' mode '0700' action :create end

execute 'package_install' do

command '/tmp/eea-8.0.1084.0.x86_64.bin -y -f' end

Deb/rpm package

Abhängigkeiten

Abhängigkeiten müssen vor der Installation aufgelöst werden.

Beispiel für Chef-Recipe

cookbook_file '/tmp/eea-8.0.1084.0.x86_64.deb' do source 'eea-8.0.1084.0.x86_64.deb'

owner 'root' group 'root' mode '0700' action :create

only_if { node['platform_family'] == 'debian'}

end

cookbook_file '/tmp/eea-8.0.1084.0.x86_64.rpm' do source 'eea-8.0.1084.0.x86_64.rpm' owner 'root'

group 'root' mode '0700' action :create

only_if { node['platform_family'] == 'rhel'}

dpkg_package 'eea' do

source '/tmp/eea-8.0.1084.0.x86_64.deb' action :install

only_if { node['platform_family'] == 'debian'}

end

rpm_package 'eea' do

source '/tmp/eea-8.0.1084.0.x86_64.rpm' action :install

only_if { node['platform_family'] == 'rhel'}

end

(14)

Ansible

Voraussetzungen

• bin- oder deb/rpm-Paket auf Ansible-Server verfügbar

• ssh-Zugriﬀ auf Zielcomputer

Bin-Paket

Beispiel für Playbook-Task

....

- name: "INSTALL: Copy configuration json files"

copy:

src: eea-8.0.1084.0.x86_64.bin dest: /home/ansible/

- name : "Install product bin package"

shell: bash ./eea-8.0.1084.0.x86_64.bin -y -f -g ...

Deb/rpm package

(15)

Beispiel für Playbook-Task

....

- name: "Copy deb package to VM"

copy:

src: ./eea-8.0.1085.0.x86_64.deb

dest: /home/ansible/eea-8.0.1085.0.x86_64.deb owner: ansible

mode: a+r when:

- ansible_os_family == "Debian"

- name: "Copy rom package to VM"

copy:

src: ./eea-8.0.1085.0.x86_64.rpm

dest: /home/ansible/eea-8.0.1085.0.x86_64.rpm owner: ansible

mode: a+r when:

- ansible_os_family == "RedHat"

- name: "Install deb package"

apt:

deb: /home/ansible/eea-8.0.1085.0.x86_64.deb state: present

when:

- ansible_os_family == "Debian"

- name: "Install rpm package"

apt:

deb: /home/ansible/eea-8.0.1085.0.x86_64.rpm state: present

when:

- ansible_os_family == "RedHat"

....

Update, Upgrade

Abkürzung zum Upgrade

Modulupdate

Produktmodule, inklusive der Erkennungsmodule, werden automatisch aktualisiert.

Um das Update des Erkennungsmoduls manuell zu starten, führen Sie den Updatebefehl in einem Terminalfenster aus, oder führen Sie das Update im ESET PROTECT aus.

Falls ein ESET Endpoint Antivirus 8 for Linux-Update nicht stabil ist, können Sie das Modul- Update auf einen vorherigen Zustand zurücksetzen. Führen Sie den entsprechenden Befehl in einem Terminalfenster aus, oder führen Sie einen Rollback mit ESET PROTECT aus.

Um alle Produktmodule in einem Terminalfenster zu aktualisieren, führen Sie den folgenden Befehl aus:

/opt/eset/eea/bin/upd -u

(16)

Update und Rollback im Terminal

Optionen -

-u --update Module aktualisieren

-c --cancel Download von Modulen abbrechen

-e --resume Updatesperre aufheben

-l --list-modules Version der verwendeten Module anzeigen

-r --rollback=WERT Rollback auf den ältesten Snapshot des Scanner-Moduls und sämtliche Updates für VALUE Stunden blockieren

Das upd-Hilfsprogramm kann nicht verwendet werden, um die Produktkonﬁguration zu ändern.

Beispiel

Um Updates für 48 Stunden auszusetzen und ein Rollback auf den ältesten Snapshot des Scanner-Moduls durchzuführen, führen Sie den folgenden Befehl als privilegierter Benutzer aus:

sudo /opt/eset/eea/bin/upd --update --rollback=48

Um die automatischen Updates des Scanner-Moduls fortzusetzen, führen Sie den folgenden Befehl als privilegierter Benutzer aus:

sudo /opt/eset/eea/bin/upd --update --cancel

Um ein Update von einem Mirror-Server unter der IP-Adresse „192.168.1.2“ und dem Port 2221 durchzuführen, führen Sie den folgenden Befehl als privilegierter Benutzer aus:

sudo /opt/eset/eea/bin/upd --update --server=192.168.1.2:2221

Upgrade ESET Endpoint Antivirus für Linux (EEAU) auf eine neuere Version aktualisieren

Neuere Versionen von EEAU werden veröﬀentlicht, um Verbesserungen oder Patches durchzuführen, die ein automatisches Update der Programmmodule nicht leisten kann.

Welche Produktversion ist aktuell installiert?

Um die Produktversion von EEAU herauszuﬁnden, haben Sie zwei Optionen:

1. Führen Sie /opt/eset/eea/lib/egui -v in einem Terminalfenster aus.

2. Sehen Sie in ESET PROTECT (ehemals ESET PROTECT) im Bereich Computer nach.

(17)

Durchführen des Upgrades?

Für ein Upgrade auf eine neuere Version führen Sie ein passendes Installationspaket für Ihr BS aus, wie im Abschnitt Installation beschrieben.

Wenn Sie ESET Endpoint Antivirus 8 for Linux über ESET PROTECT verwalten, können Sie das Upgrade mit dem Task Software-Installation oder unter Dashboard > ESET-Anwendungen

> Rechtsklick auf ESET Endpoint Antivirus 8 for Linux > Installierte ESET-Produkte aktualisieren starten.

Direktes Upgrade von ESET NOD32 Antivirus 4 Business Edition for Linux Desktop ist nicht möglich

ESET Endpoint Antivirus 8 for Linux ist ein völlig neues Produkt, dessen Konﬁguration nicht mit der Konﬁguration von ESET NOD32 Antivirus 4 Business Edition for Linux Desktop kompatibel ist.

Gehen Sie wie folgt vor, um ein Upgrade von ESET NOD32 Antivirus 4 Business Edition for Linux Desktop auf ESET Endpoint Antivirus 8 for Linux durchzuführen.

Remote verwaltete Umgebung (ESET PROTECT)

Falls Sie ESET NOD32 Antivirus 4 Business Edition for Linux Desktop remote verwalten, zeigt ESET PROTECT keinen Hinweis für das verfügbare Upgrade an.

1. Führen Sie den Task Software-Deinstallation auf den vorhandenen Installationen von ESET NOD32 Antivirus 4 Business Edition for Linux Desktop aus.

2. Stellen Sie ESET Endpoint Antivirus 8 for Linux mit dem Task Software-Installation remote auf Ihren Computern bereit.

Persönlich verwaltete Umgebung

Wenn Sie versuchen, ESET Endpoint Antivirus 8 for Linux zu installieren, ohne ESET NOD32 Antivirus 4 Business Edition for Linux Desktop zu entfernen, dann schlägt die Installation mit der folgenden Nachricht fehl:

„Fehler: das vorherige ESET Sicherheitsprodukt muss zuerst deinstalliert werden, das Paket wird nicht installiert.“

1. Deinstallieren Sie ESET NOD32 Antivirus 4 Business Edition for Linux Desktop mit dem heruntergeladenen Installationsprogramm.

i. Klicken Sie mit der rechten Maustaste auf die heruntergeladene Installationsdatei (eset_nod32av_64bit_<languge_code>.linux), klicken Sie auf die Registerkarte

Eigenschaften > Berechtigungen, aktivieren Sie die Option Ausführung von Datei als Programm zulassen und schließen Sie das Fenster.

ii. Doppelklicken Sie auf das Installationsprogramm, um das Setup für ESET NOD32 Antivirus zu starten.

(18)

iii. Klicken Sie auf Weiter, wählen Sie ESET NOD32 Antivirus von Ihrem Computer entfernen aus und klicken Sie auf weiter.

iv. Wählen Sie im Listenfeld Wählen Sie eine der Optionen die Option Keiner der genannten Punkte aus.

v. Geben Sie „Upgrade auf ESET Endpoint Antivirus 8 for Linux“ unter Sonstige zusätzliche Daten ein und klicken Sie auf Weiter und dann auf Deinstallieren.

vi. Click Sie nach Abschluss der Deinstallation auf Fertig stellen und dann auf Ja, um den Computer neu zu starten.

2. Installieren Sie ESET Endpoint Antivirus 8 for Linux.

Update-Mirror

Mit verschiedenen ESET-Sicherheitsprodukten (ESET PROTECT, ESET Endpoint Antivirus usw.) haben Sie die Möglichkeit, Kopien der Update-Dateien zu erstellen. Diese können Sie dann zur Aktualisierung anderer Workstations im Netzwerk verwenden. Das Verwenden eines Update-Mirrors - das Vorhalten von Kopien der Update-Dateien im lokalen Netzwerk - kann vorteilhaft sein, da die Dateien dann nicht von allen Arbeitsplatzcomputern einzeln über das Internet heruntergeladen werden müssen. Updates werden auf den lokalen Mirror-Server heruntergeladen und von dort an die Arbeitsstationen verteilt. Die Internetverbindung wird erheblich entlastet. Das Aktualisieren der Clientcomputer von einem Update-Mirror optimiert die Lastenverteilung im Netzwerk und entlastet Internetverbindungen.

ESET Endpoint Antivirus 8 for Linux für die Verwendung eines Update-Mirrors konﬁgurieren

1. Klicken Sie in ESET PROTECT auf Policies > Neue Policy und geben Sie einen Namen für die Policy ein.

2. Klicken Sie auf Einstellungen, und wählen Sie ESET Endpoint for Linux (V7+) im Dropdownmenü aus.

3. Klicken Sie auf Update > Primärer Server.

4. Deaktivieren Sie den Schalter neben Automatisch auswählen im Abschnitt Einfach.

5. Geben Sie im Feld Updateserver die URL-Adresse des Mirror-Servers in einem der folgenden Formate ein:

• http://<IP>:<port>

• http://<hostname>:<port>

6. Geben Sie den entsprechenden Benutzernamen und das Passwort ein.

7. Klicken Sie auf Weiter > Zuweisen, und wählen Sie die Gruppe von Computern aus, auf die Sie die Policy anwenden möchten.

(19)

8. Klicken Sie auf OK und dann auf Fertig stellen.

Falls in Ihrem Netzwerk mehrere Mirror-Server verfügbar sind, wiederholen Sie die genannten Schritte, um die sekundären Updateserver zu konﬁgurieren.

Aktivieren ESET Endpoint Antivirus 8 for Linux

Aktivieren Sie Ihr Exemplar von ESET Endpoint Antivirus 8 for Linux mit einer Lizenz, die Sie von Ihrem ESET-Distributor erhalten haben.

Mit Terminal aktivieren

Führen Sie das Hilfsprogramm /opt/eset/eea/sbin/lic als privilegierter Benutzer aus, um ESET Endpoint Antivirus 8 for Linux in einem Terminalfenster zu aktivieren.

Syntax: /opt/eset/eea/sbin/lic[OPTIONEN]

Beispiele

Die folgenden Befehle müssen von einem privilegierten Benutzer ausgeführt werden.

Aktivierung mit Lizenzschlüssel

/opt/eset/eea/sbin/lic -k XXXX-XXXX-XXXX-XXXX-XXXX

oder

/opt/eset/eea/sbin/lic --key XXXX-XXXX-XXXX-XXXX-XXXX

wobei XXXX-XXXX-XXXX-XXXX-XXXX für Ihren ESET Endpoint Antivirus 8 for Linux- Lizenzschlüssel steht.

Aktivierung mit Benutzername und Passwort

Die folgenden Befehle müssen von einem privilegierten Benutzer ausgeführt werden:

/opt/eset/eea/sbin/lic -u <username> -p <public_id>

Der Benutzer wird zur Eingabe des Passworts aufgefordert. public_id enthält die öﬀentliche Lizenz-ID.

Wenn Sie Benutzername, Passwort und die öﬀentliche Lizenz-ID in einer password.txt- Datei gespeichert haben, führen Sie den folgenden Befehl als privilegierter Benutzer aus:

cat password.txt | /opt/eset/eea/sbin/lic -u <username> -p <public_id> --stdin- pass

Aktivierung mit Oﬄine-Lizenzdatei

/opt/eset/eea/sbin/lic -f offline_license.lf

oder

/opt/eset/eea/sbin/lic -FILE=offline_license.lf

Mit ESET PROTECT aktivieren

Melden Sie sich bei der ESET PROTECT-Web-Oberﬂäche an, navigieren Sie zu Client-Tasks >

Produktaktivierung und folgen Sie den Anweisungen zur Produktaktivierung.

(20)

Wo ﬁnde ich meine Lizenz?

Beim Kauf Ihrer Lizenz sollten Sie zwei E-Mails von ESET erhalten haben. Die erste E-Mail enthält Informationen zum ESET Business Account-Portal. Die zweite E-Mail enthält Details zu Ihrem Lizenzschlüssel (XXXXX-XXXXX-XXXXX-XXXXX-XXXXX) oder Ihrem Benutzernamen (EAV-xxxxxxxxxx) und Ihrem Passwort, soweit verfügbar, Ihre öﬀentliche Lizenz-ID (xxx-xxx- xxx), den Produktnamen (oder eine Liste der Produkte) und die entsprechenden Mengen.

Ich habe einen Benutzernamen und ein Passwort

Falls Sie einen Benutzernamen und ein Passwort haben, können Sie sie auf der

entsprechenden Konvertierungsseite im ESET Business Account zu einem Lizenzschlüssel konvertieren:

https://eba.eset.com/LicenseConverter

Aktivierungsstatus überprüfen

Mit dem Hilfsprogramm lic können Sie den Aktivierungsstatus und die Gültigkeit der Lizenz anzeigen. Führen Sie die folgenden Befehle als privilegierter Benutzer aus:

Syntax: /opt/eset/eea/sbin/lic[OPTIONEN]

Die folgenden Befehle müssen von einem privilegierten Benutzer ausgeführt werden:

/opt/eset/eea/sbin/lic -s

oder

/opt/eset/eea/sbin/lic --status

Beispielausgabe, wenn das Produkt aktiviert ist:

Status: Activated Public Id: ABC-123-DEF

License Validity: 2020-03-29

Ausgabe, wenn das Produkt nicht aktiviert ist:

Status: Not activated

Wenn <%ESET_DYNAMIC_THREAT_DEFENSE%> für eine bestimmte Instanz von ESET Endpoint Antivirus 8 for Linux aktiviert ist, werden in der Ausgabe die entsprechenden Lizenzdetails angezeigt.

Führen Sie in Version 8.1 oder höher den folgenden Befehl aus, um die Lizenzplatz-ID anzuzeigen, falls Sie vom ESET-Kundendienst dazu aufgefordert werden:

/opt/eset/efs/sbin/lic -s --with-details

Wenn Sie ESET Endpoint Antivirus 8 for Linux

Nach Abschluss der Installation können Sie ein Terminalfenster oder ESET PROTECT

(21)

Benutzeroberﬂäche

ESET Endpoint Antivirus 8 for Linux enthält eine einfache graﬁsche Benutzeroberﬂäche.

Der Startbildschirm enthält eine Übersicht über den Schutzstatus sowie über Warnungen und Benachrichtigungen.

Wenn Sie über das Menü zu einem beliebigen Bildschirm gelangt sind, können Sie mit der

„Zurück“-Schaltﬂäche zum Startbildschirm zurückkehren.

Schutzstatus

Wenn keine Probleme vorliegen, wird der allgemeine Schutzstatus (Startbildschirm) in grün angezeigt. Wenn der Schutzstatus Ihres Systems verbesserungsfähig ist oder bei einem unzureichenden Schutzstatus wird der Status stattdessen in rot angezeigt.

Klicken Sie auf das Menüsymbol > Schutzstatus, um ausführliche Informationen zum Schutzstatus anzuzeigen.

Update

Klicken Sie auf das Menüsymbol > Admin > Update, um Modul-Updates manuell zu starten. Auf dem Bildschirm werden das letzte erfolgreiche Update und die letzte Suche nach Updates angezeigt.

(22)

Installierte Module

Sie können die installierten Module auf zwei Arten auﬂisten:

1. Klicken Sie auf das Menüsymbol > Admin > Update > Alle Module anzeigen.

2. Klicken Sie auf das Menüsymbol > Admin > Über > Alle anzeigen.

Agent synchronisieren

Wenn Sie ESET Endpoint Antivirus 8 for Linux remote verwalten, werden unter Menü >

Admin Agent-Synchronisierung verschiedene Details zum Management Agent angezeigt.

Die folgenden Details werden angezeigt:

• Aktuelle Version – Aktuell installierte Version des Remote Management Agent

• Letzte Replikation – Letzter Synchronisierungsversuch zwischen dem Remote Management Agent und ESET PROTECT

• Letztes erfolgreiches Replikation

• Letztes Status-Log erstellt – Der letzte letzten Zeitpunkt, an dem der Management Agent ein Status-Log erstellt hat. Die Log-Datei beﬁndet sich unter

/var/log/eset/RemoteAdministrator/Agent/status.html.

Über

Der Bildschirm „Über“ enthält Details zur installierten Version von ESET Endpoint Antivirus 8 for Linux, Ihrem Betriebssystem und den Systemressourcen.

Klicken Sie auf Alle anzeigen, um eine Liste der installierten Programm-Module zu öﬀnen.

Scans

Quicklink: Scanproﬁle

On-Demand-Scan in einem Terminalfenster ausführen

Syntax: /opt/eset/eea/bin/odscan[OPTIONEN]

Optionen -

-l --list Aktuell laufende Scans anzeigen

--list-profiles Alle verfügbaren Scanproﬁle anzeigen

--all Von anderen Benutzern ausgeführte Scans ebenfalls anzeigen (root-Berechtigungen erforderlich)

-r --resume=session_id Zuvor pausierten Scan fortsetzen identiﬁziert durch session_id

-p --pause=session_id Scan beenden (identiﬁziert durch )

(23)

-t --stop=session_id Scan beenden (identiﬁziert durch session_id)

-s --scan Prüfung starten

--profile=PROFIL Mit ausgewähltem PROFIL scannen --profile-priority=PRIORITÄT

Task wird mit der angegebenen Priorität ausgeführt.

Mögliche Prioritäten: normal, niedrig, minimal, Leerlauf

--readonly Prüfungsfortschritt anzeigen

--local Lokale Laufwerke scannen

--network Netzlaufwerke scannen

--removable Wechselmedien scannen

--boot-local Bootsektoren des lokalen Laufwerks scannen --boot-removable Bootsektoren der Wechselmedien scannen --boot-main Hauptsystembereich scannen

--exclude=DATEI Ausgewählte Datei oder ausgewähltes Verzeichnis überspringen

--ignore-exclusions Ausgeschlossene Pfade und Erweiterungen ebenfalls scannen

Beispiel

On-Demand-Scan für das Verzeichnis /root/ rekursiv mit dem Scanproﬁl „@Smart scan“ als Hintergrundprozess ausführen:

/opt/eset/eea/bin/odscan --scan --profile="@Smart scan" /root/* &

On-Demand-Scan mit dem Scan-Proﬁl "@Smart Scan" für mehrere Ziele rekursiv ausführen:

/opt/eset/eea/bin/odscan --scan --profile="@Smart scan" /root/* /tmp/* /home/*

Alle laufenden Scans auﬂisten:

/opt/eset/eea/bin/odscan -l

Scan mit der Session-ID „15“ pausieren. Jeder Scan hat eine eigene Session-ID, die beim Start generiert wird.

/opt/eset/eea/bin/odscan -p 15

Scan mit der Session-ID „15“ beenden. Jeder Scan hat eine eigene Session-ID, die beim Start generiert wird.

/opt/eset/eea/bin/odscan -t 15

On-Demand-Scan mit dem ausgeschlossenen Verzeichnis /root/exc_dir und der ausgeschlossenen Datei /root/eicar.com ausführen:

/opt/eset/eea/bin/odscan --scan --profile="@In-depth scan" --exclude=/root/exc_dir/ --exclude=/root/eicar.com /

(24)

Bootsektor der Wechselmedien scannen. Führen Sie den folgenden Befehl als privilegierter Benutzer aus:

sudo /opt/eset/eea/bin/odscan --scan --profile="@In-depth scan" --boot-removable

Exitcodes

Das Hilfsprogramm odscan zeigt nach jedem abgeschlossenem Scan einen Exitcode an.

Exitcodes Bedeutung

0 Keine Bedrohungen gefunden

1 Bedrohungen gefunden und entfernt

10 Einige Dateien konnten nicht geprüft werden (evtl. Bedrohungen) 50 Bedrohung gefunden

100 Fehler

Prüfproﬁle

Ihre bevorzugten Scan-Parameter (ThreatSense-Parameter) können für zukünftige Prüfungen gespeichert werden. Wir empfehlen Ihnen, für jede regelmäßig durchgeführte Prüfung ein eigenes Proﬁl zu erstellen (mit verschiedenen zu prüfenden Objekten, Prüfmethoden und anderen Parametern).

Erstellen Sie ein neues Proﬁl in ESET PROTECT

3. Klicken Sie auf Malware-Scans > On-Demand-Scan, und klicken Sie auf Bearbeiten neben der Proﬁlliste.

4. Geben Sie einen Namen für das neue Proﬁl ein, klicken Sie auf Hinzufügen und dann auf Speichern.

5. Wählen Sie im Dropdownmenü Ausgewähltes Proﬁl das neu erstellte Proﬁl aus und passen Sie die Scan-Einstellungen im Bereich Malware-Scans an.

6. Navigieren Sie zu Zuweisen, klicken Sie auf Zuweisen, und wählen Sie die Gruppe von Computern aus, auf die Sie die Policy anwenden möchten.

7. Klicken Sie auf OK und dann auf Fertig.

Ausschlussﬁlter

(25)

Leistungsausschlüsse

Sie können Pfade (Ordner) vom Scannen ausschließen, um die Dauer der Dateisystem-Scans auf Malware erheblich zu verringern.

3. Navigieren Sie zu Erkennungsroutine > Einfach, und klicken Sie auf Bearbeiten neben Leistungsausschlüsse.

4. Klicken Sie auf Hinzufügen, und deﬁnieren Sie den Pfad, den der Scanner überspringen soll.

Optional können Sie einen Kommentar zu Informationszwecken hinzufügen.

5. Klicken Sie auf OK und dann auf Speichern, um das Dialogfeld zu schließen.

Ausschlusspfad

/root/* - Das Verzeichnis „root“ und sämtliche Unterverzeichnisse und deren Inhalte.

/root - Nur die Datei „root“.

/root/ﬁle.txt - Nur die Datei ﬁle.txt im Verzeichnis „root“.

Platzhalter in der Mitte von Pfaden

Verwenden Sie Platzhalter in der Mitte von Pfaden (z. B. /home/user/*/data/ﬁle.dat) nach Möglichkeit nur, wenn dies für Ihr System unbedingt erforderlich ist. Weitere

Informationen ﬁnden Sie in diesem Knowledgebase-Artikel.

Ausschlüsse von Dateiendungen

Diese Art von Ausschluss kann für den Echtzeit-Dateischutz, für On-Demand-Scans eingerichtet werden.

1. Navigieren Sie zu:

• Echtzeit-Dateischutz > Threatsense-Parameter

(26)

• Malware-Scans > On-Demand-Scan > Threatsense-Parameter

2. Klicken Sie auf Bearbeiten neben Vom Scannen ausgeschlossene Dateiendungen.

3. Klicken Sie auf Hinzufügen und geben Sie die auszuschließende Erweiterung ein. Um mehrere Erweiterungen gleichzeitig anzugeben, geben Sie mehrere Werte ein und trennen Sie die einzelnen Erweiterungen durch Zeilenumbrüche oder ein anderes von Ihnen festgelegtes Trennzeichen.

Quarantäne

Die Quarantäne dient hauptsächlich dazu, inﬁzierte Dateien sicher zu verwahren. Dateien sollten in die Quarantäne verschoben werden, wenn sie nicht gesäubert werden können, wenn es nicht sicher oder ratsam ist, sie zu löschen, oder wenn sie von ESET Endpoint Antivirus 8 for Linux fälschlicherweise erkannt wurden. Sie können beliebige Dateien in die Quarantäne verschieben, insbesondere Dateien, die sich verdächtig verhalten, bei der Virenprüfung jedoch nicht erkannt werden.

Pfad zum Quarantäne-Ordner: /var/opt/eset/eea/cache/quarantine/

Das Quarantäneverzeichnis wird erstellt, wenn Sie zum ersten Mal ein Element in die Quarantäne verschieben.

Elemente in der Quarantäne im Terminal verwalten

Syntax: /opt/eset/eea/bin/quar[OPTIONEN]

Optionen -

-i --import Datei in Quarantäne importieren

-l --list Liste der Dateien in der Quarantäne anzeigen

-r --restore=id Element aus Quarantäne wiederherstellen (mit angegebener id und in den unter --restore-path angegebenen Pfad)

-e --restore-exclude=idElement aus Quarantäne wiederherstellen (mit angegebener ID und markiert durch „x“ in der Spalte ausschließbar

-d --delete=id Element aus Quarantäne löschen (mit angegebener id) -f --follow Auf neue Elemente warten und an die Ausgabe anfügen

--restore-path=pfad Pfad, an dem das Element aus Quarantäne wiederhergestellt werden soll

-h --help Hilfe anzeigen und beenden.

-v --version Versionsinformationen anzeigen und beenden

(27)

Wiederherstellen

Die Wiederherstellung ist nur verfügbar, wenn der Befehl als privilegierter Benutzer ausgeführt wird.

Beispiel

Element mit ID „0123456789“ aus Quarantäne löschen:

/opt/eset/eea/bin/quar -d 0123456789

oder

/opt/eset/eea/bin/quar --delete=0123456789

Element mit ID „9876543210 aus Quarantäne im Ordner Download des angemeldeten Benutzers wiederherstellen und umbenennen zu restoredFile.test:

/opt/eset/eea/bin/quar -r 9876543210 --restore-path=/home/$USER/Download/restoredFile.test

oder

/opt/eset/eea/bin/quar --restore=9876543210 --restore-path=/home/$USER/Download/restoredFile.test

Element mit ID „123456789“ und mit Markierung „x“ in der Spalte ausschließbar aus Quarantäne in den Ordner Download wiederherstellen:

/opt/eset/eea/bin/quar -e 9876543210 --restore-path=/home/$USER/Download/

oder

/opt/eset/eea/bin/quar --restore-exclude=9876543210 --restore-path=/home/$USER/Download/

Dateien aus der Quarantäne im Terminal wiederherstellen

1. Listen Sie die Elemente in der Quarantäne auf.

/opt/eset/eea/bin/quar -l

2. Notieren Sie sich die ID und den Namen des Elements, das Sie wiederherstellen möchten, und führen Sie den folgenden Befehl aus:

/opt/eset/eea/bin/quar --restore=ID_OF_OBJECT_TO_RESTORE --restore- path=/final/path/of/restored/file

Ereignisse

Im Terminal ausgeführte ESET Endpoint Antivirus 8 for Linux-Befehle (EEAU) sowie einige zusätzliche Ereignisse werden von EEAU geloggt.

(28)

Jede erfasste Aktion enthält die folgenden Informationen: Zeitpunkt des Ereignisses, Komponente (falls verfügbar), Ereignis, Benutzer.

Ereignisse im Terminal anzeigen

Um die erfassten Ereignisse in einem Terminalfenster anzuzeigen, können Sie das Befehlszeilentool lslog als privilegierter Benutzer verwenden.

Syntax: /opt/eset/eea/sbin/lslog[OPTIONEN]

Optionen -

-f --follow Auf neue Logs warten und an die Ausgabe anfügen

-o --optimize Logs optimieren

-c --csv Logs im CSV-Format anzeigen.

-e --events Ereignis-Logs auﬂisten

-l --device-control Logs für die Medienkontrolle auﬂisten

-n --sent-files Liste der zur Analyse eingereichten Dateien anzeigen

-s --scans On-Demand-Scan-Logs auﬂisten

--with-log-name Spalte Log-Name zusätzlich anzeigen

--ods-details=log-name Details eines On-Demand-Scans anzeigen (identiﬁziert durch Log-Name)

--ods-detections=log-nameEreignisse aus einem On-Demand-Scan anzeigen (identiﬁziert durch Log-Name)

--ods-notscanned=log-nameNicht gescannte Objekte aus einem On-Demand-Scan anzeigen (identiﬁziert durch Log-Name)

-d --detections Erkennungs-Log-Datensätze auﬂisten

Beispiele

Alle Ereignis-Logs anzeigen:

/opt/eset/eea/sbin/lslog -e

Alle Ereignis-Logs im CSV-Format in einer Datei im Ordner Documents des aktuellen Benutzers speichern:

/opt/eset/eea/sbin/lslog -ec > /home/$USER/Documents/eventlogs.csv

Alle erkannten Bedrohungen und ergriﬀenen Maßnahmen anzeigen:

/opt/eset/eea/sbin/lslog -d

(29)

Benachrichtigungen

EEAU zeigt verschiedene Benachrichtigungen an, um Sie über Aktivität oder erforderliche Aktionen zu informieren. Ein Teil der Benachrichtigungen kann aktiviert oder deaktiviert werden.

Die Benachrichtigungen stehen im Zusammenhang mit:

• On-Demand-Scan – Ein Wechseldatenträger-Scan wurde gestartet oder abgeschlossen.

• Medienkontrolle – Ein Gerät wurde gesperrt, oder das Schreiben von Daten auf ein Gerät ist nicht erlaubt.

• Ereignisse – Eine Bedrohung wurde gefunden oder entfernt, oder eine Datei wurde gesäubert.

• Betriebssystem – Ein Neustart ist erforderlich, oder ein Herunterfahren ist geplant.

• EDTD seit EEAU Version 8.1 – Eine Datei wird analysiert und kann daher vorübergehend nicht geöﬀnet werden.

Konﬁguration

So ändern Sie die Konﬁguration von ESET Endpoint Antivirus 8 for Linux:

3. Passen Sie die gewünschten Einstellungen an.

Sie können das Erkennungsverhalten anpassen und die Einstellungen für Produktupdates und die Verbindung ändern.

Wenn Sie ESET Endpoint Antivirus 8 for Linux nach Ihren Anforderungen konﬁguriert haben und die Konﬁguration zum späteren Gebrauch speichern (oder für eine andere Instanz von ESET Endpoint Antivirus 8 for Linux verwenden) möchten, können Sie sie in eine ^.XML-Datei exportieren.

Führen Sie die folgenden Befehle mit root-Berechtigungen in einem Terminalfenster aus.

(30)

Konﬁguration exportieren

/opt/eset/eea/lib/cfg --export-xml=/tmp/export.xml

Konﬁguration importieren

/opt/eset/eea/lib/cfg --import-xml=/tmp/export.xml

Verfügbare Optionen

Kurzform Langform Beschreibung -i --json-rpc list of json-rpc ﬁles

--import-xml import settings --export-xml export settings

-h --help show help

-v --version show version information

Malware Scan Engine

Die Standardkonﬁguration des Erkennungsverhaltens bietet grundlegende Sicherheitsfunktionen, inklusive:

• Echtzeit-Dateischutz

• Smart-Optimierung (eﬃziente Kombination aus Systemschutz und Scan-Geschwindigkeit)

• ESET LiveGrid-Reputationssystem

Um zusätzliche Schutzfunktionen zu aktivieren, verwenden Sie ESET PROTECT:

So ändern Sie die Konﬁguration von ESET Endpoint Antivirus 8 for Linux:

2. Klicken Sie auf Einstellungen, und wählen Sie ESET Endpoint for Linux (V7+) im Dropdownmenü aus.

3. Passen Sie die gewünschten Einstellungen an.

• Ereignis auf Potenziell unerwünschte Anwendungen

• Erkennung potenziell unsicherer Anwendungen (zum Beispiel Keylogger, Passwort-Cracking- Tools)

• Übermittlung verdächtiger oder inﬁzierter Samples aktivieren

• Konﬁgurieren von Ausschlüssen (Dateien oder Verzeichnisse, die nicht gescannt werden), um die Scans zu beschleunigen

(31)

Verwenden Sie das Hilfsprogramm „lslog“ mit dem Parameter „--detections“, um alle erkannten Bedrohungen und ergriﬀenen Maßnahmen anzuzeigen.

Ausschlussﬁlter

Leistungsausschlüsse

Sie können Pfade (Ordner) vom Scannen ausschließen, um die Dauer der Dateisystem-Scans auf Malware erheblich zu verringern.

3. Navigieren Sie zu Erkennungsroutine > Einfach, und klicken Sie auf Bearbeiten neben Leistungsausschlüsse.

4. Klicken Sie auf Hinzufügen, und deﬁnieren Sie den Pfad, den der Scanner überspringen soll.

Optional können Sie einen Kommentar zu Informationszwecken hinzufügen.

Ausschlusspfad

/root/* - Das Verzeichnis „root“ und sämtliche Unterverzeichnisse und deren Inhalte.

/root - Nur die Datei „root“.

/root/ﬁle.txt - Nur die Datei ﬁle.txt im Verzeichnis „root“.

Platzhalter in der Mitte von Pfaden

Verwenden Sie Platzhalter in der Mitte von Pfaden (z. B. /home/user/*/data/ﬁle.dat) nach Möglichkeit nur, wenn dies für Ihr System unbedingt erforderlich ist. Weitere

Informationen ﬁnden Sie in diesem Knowledgebase-Artikel.

Ausschlüsse von Dateiendungen

Diese Art von Ausschluss kann für den Echtzeit-Dateischutz, für On-Demand-Scans eingerichtet werden.

(32)

1. Navigieren Sie zu:

• Echtzeit-Dateischutz > Threatsense-Parameter

• Malware-Scans > On-Demand-Scan > Threatsense-Parameter

2. Klicken Sie auf Bearbeiten neben Vom Scannen ausgeschlossene Dateiendungen.

3. Klicken Sie auf Hinzufügen und geben Sie die auszuschließende Erweiterung ein. Um mehrere Erweiterungen gleichzeitig anzugeben, geben Sie mehrere Werte ein und trennen Sie die einzelnen Erweiterungen durch Zeilenumbrüche oder ein anderes von Ihnen festgelegtes Trennzeichen.

Echtzeit-Dateischutz

Der Echtzeit-Dateischutz überwacht alle für den Virenschutz relevanten Systemereignisse.

Alle Dateien werden beim Öﬀnen, Erstellen oder Ausführen auf Ihrem Computer auf

Schadcode geprüft. Der Echtzeit-Dateischutz wird standardmäßig beim Systemstart geladen und fortlaufend ausgeführt.

In Ausnahmefällen (z. B. bei einem Konﬂikt mit einem anderen Echtzeit-Scanner) kann der Echtzeit-Schutz deaktiviert werden:

3. Klicken Sie auf Einstellungen > Erkennungsroutine > Echtzeit-Dateischutz > Einfach.

4. Deaktivieren Sie den Echtzeit-Dateischutz.

Zu scannende Datenträger

In der Standardeinstellung werden alle Datenträger auf mögliche Bedrohungen geprüft:

• Lokale Laufwerke - Geprüft werden alle lokalen Laufwerke

• Wechselmedien - Geprüft werden CDs/DVDs, USB-Speichergeräte, Bluetooth-Geräte usw.

(33)

Es wird empfohlen, diese Einstellungen nur in Ausnahmefällen zu ändern, z. B. wenn die Prüfung bestimmter Datenträger die Datenübertragung deutlich verlangsamt.

Prüfen beim

Standardmäßig werden alle Dateien beim Öﬀnen, Erstellen und Ausführen geprüft. Wir empfehlen Ihnen, die Standardeinstellungen beizubehalten. So bietet der Echtzeit- Dateischutz auf Ihrem Computer maximale Sicherheit:

• Öﬀnen von Dateien - Prüfen von Dateien beim Öﬀnen aktivieren/deaktivieren.

• Erstellen von Dateien - Prüfen von Dateien beim Erstellen aktivieren/deaktivieren.

• Zugriﬀ auf Wechselmedien - Aktiviert oder deaktiviert die automatischen Scans von Wechselmedien, wenn diese an den Computer angeschlossen werden.

Der Echtzeit-Dateischutz überwacht alle Datenträger auf das Eintreten bestimmter Ereignisse wie den Zugriff auf eine Datei. Durch die Verwendung der ThreatSense-Erkennungsmethoden (siehe Abschnitt Einstellungen für ThreatSense) kann der Echtzeit-Dateischutz so konfiguriert werden, dass neu erstellte und vorhandene Dateien unterschiedlich behandelt werden. Sie können den Echtzeit-Dateischutz z. B. so konfigurieren, dass neuere Dateien genauer überwacht werden.

Um die Systembelastung durch den Echtzeit-Dateischutz zu minimeren, werden bereits gescannte Dateien nicht erneut gescannt (sofern sie nicht geändert wurden). Nach einem Update der Erkennungsroutine werden die Dateien sofort wieder gescannt. Dieses Verhalten wird mit der Smart-Optimierung gesteuert. Wenn die Smart-Optimierung deaktiviert ist, werden alle Dateien bei jedem Zugriﬀ gescannt. Sie können diese Einstellung mit ESET PROTECT bearbeiten:

2. Klicken Sie auf Einstellungen, und wählen Sie ESET Endpoint for Linux (V7+) im Dropdownmenü aus.

3. Klicken Sie auf Erkennungsroutine > Echtzeit-Dateischutz ThreatSense-Parameter.

4. Aktivieren oder deaktivieren Sie die Smart-Optimierung.

ThreatSense-Parameter

ThreatSense verwendet verschiedene komplexe Methoden zur Bedrohungserkennung. Die Technologie arbeitet proaktiv, d. h. sie schützt das System auch während der ersten

Ausbreitung eines neuen Angriﬀs. Eingesetzt wird eine Kombination aus Code-Analyse, Code- Emulation, allgemeinen Signaturen und Virussignaturen verwendet, die zusammen die

Systemsicherheit deutlich erhöhen. Das Prüfmodul kann verschiedene Datenströme

(34)

gleichzeitig kontrollieren und so die Eﬃzienz und Erkennungsrate steigern. Die ThreatSense- Technologie entfernt auch erfolgreich Rootkits.

in den Einstellungen für ThreatSense können Sie verschiedene Prüfparameter festlegen:

• Dateitypen und -erweiterungen, die gescannt werden sollen

• Die Kombination verschiedener Erkennungsmethoden

• Säuberungsstufen usw.

Verwenden Sie ESET PROTECT, um die Konﬁguration zu ändern. Wählen Sie eines der unten erwähnten Module aus, und klicken Sie auf ThreatSense-Parameter. Verschiedene

Sicherheitsszenarien erfordern unterschiedliche Konﬁgurationen. Daher können Sie ThreatSense für die folgenden Schutzmodule individuell konﬁgurieren:

• Echtzeit-Dateischutz

• Malware-Prüfungen

• Remote-Scans

ThreatSense-Parameter sind für jedes Modul optimal eingerichtet. Eine Veränderung der Einstellungen kann den Systembetrieb spürbar beeinträchtigen. Änderungen an den Einstellungen für das Prüfen laufzeitkomprimierter Dateien oder die Aktivierung der Advanced Heuristik im Modul „Echtzeit-Dateischutz“ können das System verlangsamen (normalerweise werden mit diesen Methoden nur neu erstellte Dateien geprüft).

Zu prüfende Objekte

In diesem Bereich können Sie festlegen, welche Dateien und Komponenten Ihres Computers auf Schadcode gescannt werden sollen.

• Bootsektoren/UEFI - Scan von Bootsektoren/UEFI auf Viren im Master Boot Record

• E-Mail-Dateien - Folgende Erweiterungen werden vom Programm unterstützt: DBX (Outlook Express) und EML

• Archive - Folgende Erweiterungen werden vom Programm unterstützt: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE und viele andere

• Selbstentpackende Archive – Selbstentpackende Archive (SFX) sind Archivdateien, die sich selbst extrahieren können

• Laufzeitkomprimierte Dateien - Im Unterschied zu Standardarchiven werden

laufzeitkomprimierte Dateien nach dem Starten im Arbeitsspeicher dekomprimiert. Neben

statischen laufzeitkomprimierten Dateiformaten (UPX, yoda, ASPack, FSG usw.) kann die Prüfung durch Code-Emulation viele weitere SFX-Typen erkennen

Prüfungseinstellungen

Wählen Sie die Methoden aus, mit denen das System auf Inﬁltrationen gescannt werden soll.

Die folgenden Optionen stehen zur Verfügung: