Echtzeitscanauftrag

 

Gilt für: Forefront Security for Exchange Server

Letzte Änderung des Themas: 2009-07-27

Der Echtzeitscanauftrag von Forefront Security für Exchange Server (FSE) wird auf dem Exchange-Server ausgeführt und bietet ein umgehendes Scannen von E-Mail-Nachrichten, die von den Postfächern und öffentlichen Ordnern auf dem Server gesendet oder empfangen werden. Diese Methode des Scannens von E-Mail-Nachrichten in Echtzeit ist die effektivste Methode, die Verteilung infizierter Dateianlagen zu beenden. Der Echtzeitscanauftrag kann für das Scannen sowohl von Nachrichtentexten als auch von Anlagen konfiguriert werden. Dieses Feature ist bei der Installation standardmäßig deaktiviert, kann jedoch durch Auswählen von Textscan - Echtzeit im Arbeitsbereich Allgemeine Optionen aktiviert werden. Das Scannen von Nachrichtentexten erhöht die Dauer, die für das Scannen von Nachrichten erforderlich ist.

Während der Installation werden vier Echtzeitscanaufträge (Prozesse) für den Postfachserver erstellt. Sie können zusätzliche Echtzeitscanaufträge erstellen, indem Sie den Wert Anzahl von Echtzeitprozessen unter Allgemeine Optionen in die Zahl der FSCRealtimeScanner-Prozesse ändern, die pro Postfachserver ausgeführt werden sollen. Der Höchstwert ist 10.

Bei der Ausführung mehrerer Echtzeitprozesse werden Dateien vom ersten Prozess gescannt, es sei denn, er ist ausgelastet. In diesem Fall wird die Datei an den zweiten Prozess übergeben. Wenn der zweite Prozess ausgelastet und ein dritter aktiviert ist, wird die Datei vom dritten Prozess gescannt. Wann immer dies möglich ist, werden die Dateien von Forefront Security für Exchange Server an den ersten verfügbaren Vorgang übergeben. Die Ausführung mehrerer Prozesse erhöht die Belastung des Servers beim Starten, wenn sie geladen werden und wenn sie für das Scannen einer Datei aufgerufen werden. Es sollten nicht mehr als vier Echtzeitprozesse erforderlich sein, es sei denn, es handelt sich um Umgebungen mit hohem Volumen, die die zusätzliche Redundanz, die von drei oder vier Prozessen geboten wird, benötigen. Grundsätzlich empfiehlt Microsoft das Aktivieren von nur vier Echtzeitprozessen pro Prozessor auf jedem Server.

Forefront Security für Exchange Server wird standardmäßig so festgelegt, dass ein Viertel der Gesamtzahl an Echtzeitprozessen für einen Hintergrundscan zur Verfügung steht, wobei die verbleibenden Prozesse für Scannen bei Zugriff und proaktives Scannen reserviert sind. Die Standardeinstellung enthält beispielsweise vier Echtzeitprozesse, drei sind demnach für proaktives und Zugriffsscannen reserviert, und einer steht dem Hintergrundscan zur Verfügung. Wenn die Anzahl der Echtzeitvorgänge erhöht wird, kann die Anzahl der für den Hintergrundscan zur Verfügung stehenden Vorgänge ebenso erhöht werden.

Standardmäßig werden beim Echtzeitscannen nur Nachrichtenanlagen gescannt, um die Scanleistung zu optimieren. Öffnen Sie den Arbeitsbereich Allgemeine Optionen, und legen Sie die Option Textscan - Echtzeit auf Aktiviert fest, um ein zusätzliches Scannen von Nachrichtentexten zu aktivieren. Dadurch wird Forefront Security für Exchange Server für das Scannen sowohl von Nachrichtentexten als auch von Anlagen konfiguriert.

Wenn Sie die Einstellungen für den Echtzeitscanauftrag konfigurieren, wählen Sie die zu schützenden Postfächer und öffentlichen Ordner aus, und geben Sie optional unter Text für das Löschen den Text ein, der anstelle der gelöschten Dateien erscheinen soll.

So wählen Sie die Postfächer aus und legen den Text für das Löschen fest
  1. Klicken Sie im Bereich EINSTELLUNGEN des Navigationsbereichs auf Scan-Auftrag. Der Arbeitsbereich Einstellungen für Scan-Auftrag wird angezeigt.

  2. Wählen Sie im oberen Teil des Arbeitsbereichs (der eine Liste der konfigurierbaren Scanaufträge enthält) den Eintrag Echtzeit-Scan-Auftrag aus.

  3. Wählen Sie im Bereich Scannen des Arbeitsbereichs die zu schützenden Postfächer und öffentlichen Ordner aus. Weitere Informationen finden Sie unter Informationen zu Postfächern und öffentlichen Ordnern.

  4. Optional können Sie unter Text für das Löschen auch einen Text festlegen, der anstelle des Inhalts von Dateien angezeigt wird, die gelöscht wurden, weil sie als infiziert eingestuft worden waren. Der Standardtext für das Löschen informiert Sie darüber, dass eine infizierte Datei entfernt wurde. Dazu werden der Name der Datei und der Name des entdeckten Virus angegeben. Wenn Sie eine eigene Nachricht erstellen möchten, klicken Sie auf Text für das Löschen.

    HinweisHinweis:
    FSE enthält Schlüsselwörter, die Sie unter „Text für das Löschen“ verwenden können, um Informationen aus der Nachricht abzurufen, in der die Infektion aufgetreten ist. Weitere Informationen zu diesem Feature finden Sie unter Schlüsselwortersetzungsmakros.
  5. Klicken Sie auf Speichern, um Ihre Scanauftragskonfiguration zu speichern.

Es gibt verschiedene Einstellungen, die Sie für den Echtzeitscanauftrag anpassen können. Dazu gehören die Auswahl der zu verwendenden Scanmodule, die Abweichungseinstellung, die auszuführende Aktion, die Festlegung, ob und wie Sie benachrichtigt werden möchten sowie die Möglichkeit, Dateien unter Quarantäne zu stellen.

So konfigurieren Sie Antiviruseinstellungen
  1. Klicken Sie im Bereich EINSTELLUNGEN des Navigationsbereichs auf das Symbol Antivirus. Der Arbeitsbereich Antiviruseinstellungen wird angezeigt.

  2. Wählen Sie in der Liste im oberen Bereich die Option Echtzeit-Scan-Auftrag aus. Die aktuellen Einstellungen werden im unteren Abschnitt des Arbeitsbereichs angezeigt.

  3. Wählen Sie in der Liste verfügbarer Scanner von Drittanbietern im Abschnitt Dateiscanner die Dateiscanmodule aus. Wenn das Scannen deaktiviert werden soll, ohne dass sich dies auf die Möglichkeit auswirkt, Dateien und Inhalte zu filtern, entfernen Sie die Markierung des Kontrollkästchens Virenscan im Arbeitsbereich Auftrag ausführen des Bereichs BETRIEB des Navigationsbereichs für den Echtzeitscanauftrag.

  4. Legen Sie im Feld Abweichung fest, wie viele Module verwendet werden sollen, damit eine akzeptable Wahrscheinlichkeit besteht, dass Ihr System geschützt ist. Weitere Informationen finden Sie unter Mehrere Scanmodule.

  5. Wählen Sie im Feld Aktion die Aktion aus, die Forefront Security für Exchange Server ausführen soll, wenn ein Virus entdeckt wird. Zur Aktionsauswahl gehören:

     

    Überspringen: nur erkennen

    Es wird kein Versuch des Bereinigens oder Löschens unternommen. Viren werden berichtet, die Dateien bleiben jedoch infiziert. Wurde jedoch Beschädigte komprimierte Dateien löschen, Beschädigte Uuencode-Dateien löschen oder Verschlüsselte komprimierte Dateien löschen unter Allgemeine Optionen ausgewählt, wird das Element bei Übereinstimmung mit einer dieser Bedingungen gelöscht.

    Bereinigen: Anhang reparieren

    Es wird versucht, den Virus zu bereinigen. Bei Erfolg wird die infizierte Anlage oder der Nachrichtentext durch die bereinigte Version ersetzt. Wenn ein Bereinigen nicht möglich ist, wird die Anlage oder der Nachrichtentext durch den Text für das Löschen ersetzt.

    Löschen: Infektion entfernen

    Die Anlage wird ohne den Versuch der Bereinigung gelöscht. Die erkannte Anlage wird aus der Nachricht entfernt und durch den Text für das Löschen ersetzt.

  6. Aktivieren Sie die E-Mail-Benachrichtigung, indem Sie Benachrichtigungen senden wählen. Diese Einstellung hat keinen Einfluss auf die Berichterstellung im Vorfallprotokoll. Darüber hinaus müssen Sie die Benachrichtigungen konfigurieren (siehe E-Mail-Benachrichtigungen). Benachrichtigungen sind standardmäßig deaktiviert.

  7. Legen Sie mithilfe der Option Quarantänedateien fest, ob Anhänge, die von den Dateiscanmodulen als infiziert eingestuft wurden, unter Quarantäne gestellt werden sollen. Die Quarantäne ist standardmäßig aktiviert. Wenn die Quarantäne aktiviert ist, werden gelöschte Anlagen und entfernte Nachrichten gespeichert, sodass sie wiederhergestellt werden können. Entfernte wurminfizierte Nachrichten können jedoch nicht wiederhergestellt werden.

  8. Klicken Sie auf Speichern, um die Antiviruseinstellungen zu speichern.

HinweisHinweis:
Die Einstellungen für den Echtzeitscanauftrag werden auch vom Hintergrundscan verwendet.

Wählen Sie im Arbeitsbereich Einstellungen für Scan-Auftrag die Option Echtzeit-Scan-Auftrag aus. Die Änderungen, die im unteren Abschnitt des Arbeitsbereichs Einstellungen für Scan-Auftrag angezeigt werden, betreffen den aktuell in der Auftragsliste ausgewählten Scanauftrag. Jede Änderung an der Konfiguration bewirkt, dass die Schaltflächen Speichern und Abbrechen aktiviert werden. Wenn Sie einen Scanauftrag ändern und danach zu einem anderen Scanauftrag oder einem anderen Menüeintragssymbol wechseln, ohne die Änderung vorher zu speichern, werden Sie zum Speichern der neuen Konfigurationseinstellungen aufgefordert.

Klicken Sie zum Steuern des Echtzeitscanauftrags im Navigationsbereich auf BETRIEB und dann auf das Symbol Auftrag ausführen. Der Arbeitsbereich Auftrag ausführen wird angezeigt.

Wählen Sie in der Liste im oberen Teil des Arbeitsbereichs Auftrag ausführen die Option Echtzeit-Scan-Auftrag. Der untere Abschnitt des Arbeitsbereichs Auftrag ausführen zeigt den Status und die Ergebnisse des aktuell ausgewählten Scanauftrags an.

Wenn die Option „Echtzeit-Scan-Auftrag“ ausgewählt wurde, können Sie mit den Schaltflächen Aktivieren und Umgehung festlegen, ob der Auftrag ausgeführt werden soll.

Echtzeitscanaufträge können nach Viren suchen, eine Dateifilterung oder eine Inhaltsfilterung vornehmen oder eine Kombination aus diesen drei Aufgaben ausführen. Legen Sie mithilfe der Kontrollkästchen neben Virenscan, Filtern nach Dateien und Filtern nach Inhalt die gewünschte(n) Aufgabe(n) fest. Alle Änderungen an diesen Einstellungen werden umgehend ausgeführt, selbst wenn der Auftrag aktuell ausgeführt wird.

Das untere Fenster zeigt die Infektionen oder gefilterten Ergebnisse, die vom Echtzeitscanauftrag gefunden wurden. Diese Ergebnisse werden auf dem Datenträger in der Virusprotokolldatei von FSCController gespeichert und sind nicht davon abhängig, dass Forefront Server Security Administrator geöffnet bleibt. Die Virusprotokolldatei kann, wenn sie nicht länger benötigt wird, durch Betätigen der Schaltfläche Protokoll löschen gelöscht werden. Dies hat keine Auswirkung auf das Vorfallprotokoll.

Eine Teilmenge der Ergebnisse kann auch durch Auswahl der Einträge in der Spalte Ordner mithilfe der Maus oder der LEERTASTE in Verbindung mit der UMSCHALT- oder STRG-TASTE gelöscht werden. Wenn die gewünschte Teilmenge ausgewählt ist, wird diese durch Drücken der ENTF-TASTE aus der Virusprotokolldatei entfernt.

HinweisHinweis:
Wenn eine große Anzahl an Einträgen ausgewählt wird, kann der Löschvorgang potenziell sehr lange dauern. In diesem Fall werden Sie mithilfe eines Nachrichtenfelds aufgefordert, den Löschvorgang zu bestätigen.

Verwenden Sie die Schaltfläche Exportieren, um die Ergebnisse als formatierten Text oder durch Trennzeichen getrenntes Textformat zu speichern.

Im unteren Bereich des Bildschirms wird der Status des ausgewählten Auftrags und das aktuell gescannte Postfach, der aktuell gescannte Ordner oder die aktuell gescannte Datei angezeigt.

Mit Forefront Security für Exchange Server ist Flexibilität möglich bei der Auswahl, welche Postfächer, öffentlichen Ordner und Elemente mit dem Echtzeitscanauftrag gescannt werden sollen. Sie können den Scan so konfigurieren, dass er alle vorhandenen und neuen Postfächer und öffentlichen Ordner enthält, oder Sie können eine Aufnahmeliste aus verfügbaren Postfächern und öffentlichen Ordnern erstellen.

HinweisHinweis:
Postfächer und öffentliche Ordner mit Namen, die ausschließlich aus umgekehrten Schrägstrichen (\) bestehen, werden nicht gescannt, wenn Forefront Security für Exchange Server für das Scannen ausgewählter Postfächer und öffentlicher Ordner konfiguriert ist. Ist FSE für das Scannen aller Postfächer oder öffentlichen Ordner konfiguriert, werden diejenigen Elemente mit umgekehrten Schrägstrichen oder anderen Sonderzeichen gescannt.

Im Bereich Scannen des Arbeitsbereichs Einstellungen für Scan-Auftrag stehen jeweils drei Optionen für die Auswahl von Postfächern und öffentlichen Ordnern zur Verfügung:

 

Alle

Scannt alle vorhandenen und neu erstellten Postfächer oder öffentlichen Ordner.

Keine

Es werden keine Postfächer oder öffentlichen Ordner gescannt.

Ausgewählt

Es werden bestimmte Postfächer oder öffentliche Ordner gescannt. Wenn Sie Ausgewählt auswählen, wird das Symbol unterhalb der Optionen aktiv. Klicken Sie auf dieses Symbol, um die Liste der Postfächer oder öffentlichen Ordner auf dem Server anzuzeigen.

Sie können jedes Postfach oder jeden öffentlichen Ordner durch Klicken auf den Namen für den Scan auswählen. Mit den zugehörigen Schaltflächen können Sie alle oder keines der Postfächer bzw. alle oder keinen der öffentlichen Ordner auswählen. Mit der Schaltfläche +/- kann die aktuelle Auswahl umgekehrt werden.

HinweisHinweis:
Das Auswählen aller Postfächer oder öffentlichen Ordner im Auswahlbereich entspricht nicht dem Auswählen der Option Alle im vorherigen Bereich. Aus der hier vorgenommenen Auswahl wird eine Aufnahmeliste erstellt. Neue Postfächer oder öffentliche Ordner, die nach Abschluss dieser Auswahl hinzugefügt werden, werden nicht automatisch eingeschlossen.
Klicken Sie auf den Pfeil in der rechten oberen Ecke des Auswahlbereichs für Postfächer bzw. öffentliche Ordner, um zum Hauptfenster für die Scanauswahl zurückzukehren.

Das proaktive Scannen in Microsoft Exchange kann auf Servern für öffentliche Ordner aktiviert werden, um Dateien zu scannen, wenn sie auf dem Server bereitgestellt werden, und auf Postfachservern, um gesendete Elemente zu scannen. Sie können das proaktive Scannen mit einer der folgenden Methoden aktivieren:

  • Legen Sie den folgenden DWORD-Registrierungseintrag von Exchange auf 1 fest:

    HKEY_Local_Machine\System\CurrentControlSet\Services\MSExchangeIS\VirusScan

    Standardmäßig ist dieser Registrierungswert auf 0 festgelegt (das proaktive Scannen ist deaktiviert).

  • Prüfen Sie unter Allgemeine Optionen die Einstellung für Bei Scanner-Update scannen. Wenn Sie diese Einstellung aktivieren, scannt der Echtzeitscanauftrag zuvor gescannte Nachrichten erneut, wenn auf dieser nach einem Modulupdate zugegriffen wird. Außerdem wird durch das Aktivieren dieser Einstellung der Registrierungswert VirusScan automatisch auf 1 gesetzt. Sie können ds proaktive Scannen jedoch auch aktivieren, ohne Nachrichten nach Modulupdates erneut zu scannen, da dies unter Umständen die Serverleistung beeinträchtigt. In diesem Fall sollten Sie den Registrierungswert VirusScan einfach auf 1 setzen und die Einstellung Bei Scanner-Updatescannen deaktiviert lassen (dies ist die Standardeinstellung).

Falls der Echtzeitscanauftrag mehr als die angegebene Zeit für das Scannen einer Datei in Anspruch nimmt (Standard sind 5 Minuten oder 300.000 Millisekunden), wird der Vorgang abgebrochen, und mit Forefront Security für Exchange Server versucht, den Dienst neu zu starten. Bei Erfolg wird der Echtzeitscan wieder aufgenommen, und es wird eine Benachrichtigung an den Administrator gesendet, die angibt, dass der Echtzeitscanauftrag die zugeteilte Scanzeit überschritten hat und wiederhergestellt wurde.

Wenn der neue Echtzeitvorgang startet, wird die Nachricht, die den Vorgang zuvor abgebrochen hat, neu verarbeitet gemäß der Aktion, die in Allgemeine Optionen unter Aktion bei Zeitüberschreitung bei Echtzeit-Scan festgelegt ist. Wenn diese Einstellung z. B. auf Löschen festgelegt ist, wird die Datei in Forefront Security für Exchange Server gelöscht. Zudem werden die Inhalte durch den Text für das Löschen für den Echtzeitscanauftrag ersetzt, die Informationen protokolliert sowie die Datei unter Quarantäne gestellt und archiviert. Wenn von Forefront Security für Exchange Server erneut das Zeitlimit während der Verarbeitung der Nachricht überschritten wird, wird die Nachricht gesendet, ohne gescannt zu werden. (Weitere Informationen zu Allgemeine Optionen finden Sie unter Forefront Server Security Administrator (FSSAClient).)

Wenn der Vorgang nicht neu gestartet werden kann, wird eine Benachrichtigung an den Administrator gesendet, die angibt, dass der Echtzeitscanauftrag beendet wurde. In diesem Fall funktioniert der Echtzeitscan für diese spezielle Speichergruppe nicht mehr, der Informationsspeicher wird jedoch nicht beendet.

Das Standardzeitlimit für das Scannen von Nachrichten kann durch Erstellen des DWORD-Registrierungswerts Echtzeit-Zeitüberschreitung und Festlegen eines neuen Zeitlimits geändert werden. Der Wert wird in Millisekunden angegeben.

Wenn Sie weiterhin Zeitüberschreitungsprobleme haben, können Sie versuchen, die Zeit, die im Registrierungswert Echtzeit-Zeitüberschreitung angegeben ist, zu erhöhen. Da es sich hierbei um einen ausgeblendeten Registrierungswert handelt, müssen Sie einen neuen DWORD-Registrierungswert mit dem Namen RealtimeTimeout erstellen, den Basiswert auf Dezimal festlegen und den Zeitraum in Millisekunden in das Feld Wert eingeben. Starten Sie die Exchange- und Forefront Security für Exchange Server-Dienste neu, damit diese Änderung wirksam wird. Weitere Informationen zu den Registrierungswerten finden Sie unter Registrierungsschlüssel.

Standardmäßig ist Forefront Security für Exchange Server für das Scannen aller Anlagen nach Viren konfiguriert. Forefront Security für Exchange Server kann jedoch so konfiguriert werden, dass nur Dateianlagen gescannt werden, die eine höhere Wahrscheinlichkeit für einen Virenbefall aufweisen, um Scans so schnell und effizient wie möglich auszuführen. Dies geschieht zunächst durch Bestimmen des Dateityps und durch Bestimmen, ob dieser Dateityp mit einem Virus infiziert sein könnte. Die Bestimmung des Dateityps geschieht durch Überprüfen des Dateivorspanns und nicht der Dateierweiterung. Diese Methode ist deutlich sicherer, da Dateierweiterungen problemlos manipuliert werden können. Durch diese Überprüfung wird die Leistung von Forefront Security für Exchange Server erhöht und gleichzeitig sichergestellt, dass keine potenziell infizierten Dateianlagen durchgehen, ohne gescannt zu werden. Wenn in Forefront Security für Exchange Server das Scannen von Dateitypen umgangen werden soll, die in der Regel keine Viren enthalten können, setzen Sie den Registrierungsschlüssel ScanAllAttachments auf 0. (Bei ScanAllAttachments handelt es sich um einen "ausgeblendeten" Schlüssel. Dies bedeutet, dass der Standardwert 1 verwendet wird, wenn der Schlüssel nicht vorhanden ist.)

 
Anzeigen: