ESET NOD32 Antivirus¶
ESET NOD32 Smart security¶
Есть несколько способов вернуть работоспособность для совместной работы Staffcop-агента и Eset Nod32.
Первый способ¶
Откройте программу, нажав значок Eset Nod в правой части панели задач Windows.
Перейдите в раздел Настройка.
Перейдите в раздел Защита Интернета → Расширенные параметры.
Откажитесь от проверки HTTPS (опция Включить проверку протокола HTTPS).
Второй способ¶
Является более правильным, т.к. заставляет и антивирус и Staffcop-агент работать совместно и без конфликтов.
Суть заключается, в том, чтобы добавить корневой сертификат агента Staffcop в антивирусную программу.
Скачать корневой сертификат для драйверной-версии:
Сертификаты нужно скопировать на машину у которой есть доступ к центральному серверу администрирования настройками антивируса или на локальную машину если нужно импортировать сертификат единовременно на локальную машину.
Затем вам надо следовать указаниям из этой статьи пункт 2 (Статья на Русском), чтобы импортировать сертификат, вам нужен раздел - Список известных сертификатов (List of known certificates).
Конкретно вот эту картинку вам нужно принять как руководство к импорту сертификата:
После импорта сертификата лучше перезапустить как службу Staffcop-агента, так и сам браузер.
Чтобы перезапустить агента, надо открыть консоль Windows От имени администратора и выполнить следующее:
c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv64.exe stop
c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv64.exe start
И проверить работу сайтов в браузере снова.
Примечание
В зависимости от версии программы пути к нужной настройке могут различаться.
ESET NOD32 Endpoint 5.x¶
Если планируется установить агента на рабочую станцию пользователя, то вначале нужно отключить защиту антивируса, чтобы он не удалил агента до момента его установки.
Для того, что бы вручную добавить исключения нужно кликнуть правой кнопкой по иконке антивируса в трее и выбрать пункт - «Открыть ESET Endpoint Security». Далее, нажать кнопку F5.
И в меню «Компьютер - Защита от вирусов и шпионских программ - Исключения» добавить в список следующие исключения:
Файлы:
c:\windows\auxiliaryservice.exe
c:\Windows\System32\TimeControlSvc\dpinst_32.exe
c:\Windows\System32\TimeControlSvc\vmnetdrv32.exe
c:\Windows\System32\TimeControlSvc\vmnetdrv64.exe
c:\Windows\System32\TimeControlSvc\sysprotect.exe
c:\Windows\System32\TimeControlSvc\Proxy\NtControlSvc.exe
c:\Windows\System32\TimeControlSvc\Proxy\PCController.exe
c:\Windows\System32\TimeControlSvc\Proxy\ProxyConfigurator.exe
c:\Windows\System32\TimeControlSvc\Proxy\RegisterLSP.exe
c:\Windows\System32\TimeControlSvc\Proxy\RegisterLSP64.exe
c:\Windows\System32\TimeControlSvc\Proxy\RunHiddenConsole.exe
c:\Windows\SysWOW64\TimeControlSvc\dpinst_64.exe
c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv32.exe
c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv64.exe
c:\Windows\SysWOW64\TimeControlSvc\sysprotect64.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\NtControlSvc.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\PCController.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\ProxyConfigurator.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\RegisterLSP.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\RegisterLSP64.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\RunHiddenConsole.exe
C:\Windows\SysWOW64\TimeControlSvc\*.*
C:\Windows\System32\TimeControlSvc\*.*
C:\windows\installer\*
c:\Windows\SysWOW64\TimeControlSvc
c:\Windows\System32\config\systemprofile\AppData\Roaming\TimeSvc3
c:\Windows\agent.msi
c:\Windows\Winexesvc.exe
C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\CaptureFileMonitor64.cat
C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\CaptureFileMonitor64.sys
C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\FileMonitorInstallation64.inf
C:\Windows\SysWOW64\TimeControlSvc\ProcObsrv.sys
C:\Windows\SysWOW64\TimeControlSvc\ProcObsrv64.sys
C:\Windows\System32\drivers\ProcObsrv64.sys
C:\Windows\System32\drivers\CaptureFileMonitor64.sys
Примечание
Для устранения конфликта c антивирусом при установке агента на рабочую станцию пользователя, вы должны отключить антивирус. Или запускать утилиту удалённой установки на рабочей станции где антивирус не запущен.
ESET Security Managment Center 7¶
Для настройки исключений в политике по умолчанию, входим в консоль «ESET Security Managment Center»:
Затем переходим на вкладку - Polices - ESET Endpoint for Windows и выбираем политику Antivirus Balanced нажимаем на шестерёнку и выбираем пункт - Edit
Добавляем исключения в DETECTION ENGINE
В разделе SETTINGS - DETECTION ENGINE - BASIC.
Выбираем секцию EXCLUSIONS и нажимаем - Edit
В этом диалоге нужно будет добавить следующие строки по одной или импортировать из файла:
c:\windows\auxiliaryservice.exe
c:\Windows\System32\TimeControlSvc\dpinst_32.exe
c:\Windows\System32\TimeControlSvc\vmnetdrv32.exe
c:\Windows\System32\TimeControlSvc\vmnetdrv64.exe
c:\Windows\System32\TimeControlSvc\sysprotect.exe
c:\Windows\System32\TimeControlSvc\Proxy\NtControlSvc.exe
c:\Windows\System32\TimeControlSvc\Proxy\PCController.exe
c:\Windows\System32\TimeControlSvc\Proxy\ProxyConfigurator.exe
c:\Windows\System32\TimeControlSvc\Proxy\RegisterLSP.exe
c:\Windows\System32\TimeControlSvc\Proxy\RegisterLSP64.exe
c:\Windows\System32\TimeControlSvc\Proxy\RunHiddenConsole.exe
c:\Windows\SysWOW64\TimeControlSvc\dpinst_64.exe
c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv32.exe
c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv64.exe
c:\Windows\SysWOW64\TimeControlSvc\sysprotect64.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\NtControlSvc.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\PCController.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\ProxyConfigurator.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\RegisterLSP.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\RegisterLSP64.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\RunHiddenConsole.exe
C:\Windows\SysWOW64\TimeControlSvc\*.*
C:\Windows\System32\TimeControlSvc\*.*
C:\windows\installer\*
c:\Windows\SysWOW64\TimeControlSvc
c:\Windows\System32\config\systemprofile\AppData\Roaming\TimeSvc3
c:\Windows\agent.msi
c:\Windows\Winexesvc.exe
C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\CaptureFileMonitor64.cat
C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\CaptureFileMonitor64.sys
C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\FileMonitorInstallation64.inf
C:\Windows\SysWOW64\TimeControlSvc\ProcObsrv.sys
C:\Windows\SysWOW64\TimeControlSvc\ProcObsrv64.sys
C:\Windows\System32\drivers\ProcObsrv64.sys
C:\Windows\System32\drivers\CaptureFileMonitor64.sys
Эти исключения помогут агенту работать на рабочей станции пользователя без его удаления со стороны антивируса.
Примечание
Если хотите, чтобы политики сработали точно - нажмите на значок молнии в строке с названием редактируемого модуля в политике.
После завершения внесения изменений, нажимаем внизу кнопку FINISH, после применения политики, она будет применена сразу же на всех ПК, которым применяется эта политика.
По умолчанию эта политика распространяется на все ПК с Windows-системами.
Примечание
Работа исключений была проверена на ESET Endpoint версии 7.0.2100.46.55.0.2272, и ESET Security Management Center Version 7.0 (7.0.577.0) возможно на каких-то других версиях ESET Endpoint Antivirus\ESET Managment Center - исключения могут вести себя иначе. Если у вас возникают проблемы сообщите нам пожалуйста в техническую поддержку (support@staffcop.ru) об этой ошибке и сообщите версию Managment Center и Endpoint Antivirus.
Предупреждение
Если установка агента была произведена до внесения исключений в антивирус, то необходимо переустановить агент, иначе некоторые модули могут работать некорректно.
Примечание
Если удаление агента после внесения исключений продолжаются, пожалуйста убедитесь, что исключения действительно применились на рабочих станциях пользователей. Это можно сделать если зайти в настройки антивируса и посмотреть текущие исключения для модуля файлового мониторинга или общая страница с исключениями.
Если вам не хочется вносить изменения в исключения, чтобы была исключена папка C:\windows\installer\*, то вы можете внести исключения по угрозе или обнаружению (зависит от версии антивируса):
Win32/KeyLogger.StaffCop.E
Win32/KeyLogger.StaffCop.D
Win32/KeyLogger.StaffCop.F
Win64/KeyLogger.StaffCop.E
Win64/KeyLogger.StaffCop.D
Win64/KeyLogger.StaffCop.F
Примечание
В некоторых версиях поле path необходимо оставлять пустым, то есть не указывать C:* .
В итоге, список исключений должен будет выглядеть так:
Примечание
Это исключение работает только для антивируса версии 7.х и старше! В Качестве «Маски пути» - нужно указать диск C:\*
Исключение из полного сканирования дисков¶
В новых версиях антивируса ESET при запланированной проверке может случиться ситуация детектирования бинарных файлов агента Staffcop и их удаление.
Чтобы этого избежать в настройках запланированного сканирования нужно отключить опцию «пропустить исключения» должно получиться так: