Forefront Server Security Administrator (FSSAClient)

 

Gilt für: Forefront Security for Exchange Server

Letzte Änderung des Themas: 2011-06-22

Forefront Server Security Administrator dient dazu, Forefront Security für Exchange Server lokal oder remote zu konfigurieren und auszuführen. Auf dem Computer, zu dem Forefront Server Security Administrator eine Verbindung herstellen möchte, müssen FSCController und Microsoft® Exchange Server ausgeführt werden, um Forefront Server Security Administrator erfolgreich zu starten. Wenn Sie Forefront Server Security Administrator starten, ohne dass der Exchange-Server ausgeführt wird, wird eine Fehlermeldung angezeigt.

Da Forefront Server Security Administrator das Front-End der Software Forefront Security für Exchange Server ist, kann das Programm gestartet oder geschlossen werden, ohne die Back-End-Prozesse zu beeinträchtigen, die von den Diensten von Forefront Security für Exchange Server ausgeführt werden. Forefront Server Security Administrator kann auch im schreibgeschützten Modus ausgeführt werden. Dadurch können auch Benutzer auf die Anwendung zugreifen, die nicht zum Ändern von Einstellungen oder zum Ausführen von Aufträgen berechtigt sind, möglicherweise aber über die Benutzeroberfläche bereitgestellte Informationen benötigen.

HinweisHinweis:
Verwenden Sie Forefront Server Security Administrator nicht mit Vorgängerversionen von Microsoft Antigen für Exchange.

Aufgrund der Standardsicherheitseinstellungen in Windows XP Service Pack 2 (SP2) und Windows Server 2003 SP2 müssen Sie zuerst das Administratorkonto aktivieren, bevor Sie Forefront Server Security Administrator auf diesen Betriebssystemen verwenden können.

WichtigWichtig:
Aufgrund der Standardsicherheitseinstellungen in Microsoft Windows XP Service Pack 2 (SP2) und Microsoft Windows Server 2003 (SP2) wird Forefront Server Security Administrator nach der Installation nicht ordnungsgemäß ausgeführt.
So aktivieren Sie Forefront Server Security Administrator unter Microsoft Windows XP SP2
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie dcomcnfg ein. Das Dialogfeld Komponentendienste wird angezeigt.

  2. Erweitern Sie im Dialogfeld Komponentendienste die Elemente Komponentendienste und Computer, klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf der Registerkarte COM-Sicherheit unter Zugriffsberechtigungen auf Limits bearbeiten, und aktivieren Sie für den Benutzer ANONYMOUS-ANMELDUNG bei Remotezugriff das Kontrollkästchen Zulassen.

  4. Fügen Sie in der Liste der Windows-Firewallausnahmen die Anwendung Forefront Server Security Administrator hinzu:

    1. Öffnen Sie die Systemsteuerung, und wählen Sie Sicherheitscenter aus.

    2. Wählen Sie Windows-Firewall aus. Das Dialogfeld Windows-Firewall wird angezeigt.

    3. Wählen Sie die Registerkarte Ausnahmen aus.

    4. Klicken Sie auf Programm hinzufügen, wählen Sie FSSAClient aus der Liste aus, und klicken Sie dann auf OK. Damit wird Forefront Server Security Administrator der Liste Programme und Dienste hinzugefügt.

    5. Wählen Sie FSSAClient in der Liste Programme und Dienste aus.

    6. Klicken Sie auf Port hinzufügen, geben Sie einen Namen für den Port ein, geben Sie 135 als Portnummer ein, und wählen Sie TCP als Protokoll aus.

    7. Klicken Sie auf OK.

      HinweisHinweis:
      Wenn Sie Port 135 nicht für alle Computer öffnen möchten, können Sie den Zugriff auch auf die Server beschränken, auf denen Forefront Security für Exchange Server ausgeführt wird. Klicken Sie dazu beim Hinzufügen von Port 135 auf Bereich ändern, und wählen Sie Benutzerdefinierte Liste aus. Geben Sie die IP-Adressen aller Forefront-Server ein, denen der Zugriff über Port 135 ermöglicht werden soll.
So aktivieren Sie Forefront Server Security Administrator unter Microsoft Windows Server 2003 SP2
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie dcomcnfg ein. Das Dialogfeld Komponentendienste wird angezeigt.

  2. Erweitern Sie im Bereich Konsolenstamm den Knoten Komponentendienste.

  3. Erweitern Sie Computer.

  4. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz.

  5. Wählen Sie Eigenschaften aus, und wählen Sie dann die Registerkarte COM-Sicherheit aus.

  6. Klicken Sie unter Zugriffsberechtigungen auf Limits bearbeiten, und fügen Sie dann das Konto ANONYMOUS-ANMELDUNG hinzu.

  7. Aktivieren Sie für Benutzer mit anonymer Anmeldung das Kontrollkästchen Zulassen für den Remotezugriff.

Forefront Server Security Administrator kann über das Startmenü oder über eine Eingabeaufforderung gestartet werden.

So starten Sie Forefront Server Security Administrator vom Startmenü aus
  1. Klicken Sie auf Start.

  2. Zeigen Sie auf Alle Programme.

  3. Zeigen Sie auf den Ordner Microsoft Forefront Server Security.

  4. Zeigen Sie auf den Ordner Exchange Server.

  5. Klicken Sie auf Forefront Server Security Administrator.

So starten Sie Forefront Server Security Administrator von der Eingabeaufforderung
  1. Öffnen Sie ein Eingabeaufforderungsfenster.

  2. Navigieren Sie zum Installationsverzeichnis für Forefront Security für Exchange Server.

    Standard: C:\Programme(x86)\Microsoft Forefront Security\Exchange Server

  3. Geben Sie FSSAclient.exe ein, und drücken Sie die EINGABETASTE.

Wenn Sie Forefront Server Security Administrator das erste Mal starten, werden Sie aufgefordert, eine Verbindung mit Exchange Server auf dem lokalen Computer herzustellen. Sie können die Verbindung mit dem lokalen Exchange-Server über den Servernamen oder einen lokalen Alias herstellen.

Forefront Server Security Administrator kann auch mit einem remote ausgeführten Exchange-Server mit Forefront Security für Exchange Server verbunden werden. Dies ermöglicht einem Administrator, Forefront Security für Exchange Server mit nur einer Installation von Forefront Server Security Administrator im gesamten Netzwerk zu konfigurieren und zu steuern.

Um eine Verbindung mit einem Remoteserver herzustellen, klicken Sie bei Anzeige des Eingabefelds Server auf die Schaltfläche Durchsuchen, oder geben Sie Servername, IP-Adresse oder den DNS-Namen (Domain Name System) des Remotecomputers an.

HinweisHinweis:
Aufgrund der erweiterten Sicherheitseinstellungen in Windows Server 2003 Service Pack 1 (SP1) müssen bei der Installation von Forefront Security für Exchange Server auf einem Server mit Windows Server 2003 SP1 ggf. die DCOM-Einstellungen aktualisiert werden, um einen Remotezugriff zu ermöglichen. Remoteadministratoren müssen berechtigt sein, Remotestarts und Remoteaktivierungen durchzuführen.
Da sowohl bei einer Installation von Forefront Server Security Administrator als auch bei der vollen Produktinstallation Zugriffssteuerungslisten (Access Control Lists, ACLs) im Installationsordner von Forefront Security für Exchange Server installiert werden, muss ein Remoteadministrator nicht nur auf den lokalen Installationsordner und Registrierungsschlüssel zugreifen können, sondern auch auf den Server, mit dem eine Verbindung hergestellt werden soll.
Wenn beim Herstellen einer Verbindung zwischen Forefront Server Security Administrator und dem Exchange-Server Probleme auftreten, können Sie die Verfügbarkeit des Servers mit dem PING-Befehl überprüfen. Wenn der Server verfügbar ist, sollten Sie sicherstellen, dass keine andere Instanz von Forefront Server Security Administrator damit verbunden ist.

Wählen Sie in Forefront Server Security Administrator im Menü Datei den Befehl Öffnen aus, um eine Verbindung mit einem anderen Server herzustellen. Das Dialogfeld Verbindung zu Server herstellen wird angezeigt. Geben Sie den Namen eines anderen Servers ein, auf dem Forefront Security für Exchange Server (FSE) ausgeführt wird, wählen Sie in der Dropdownliste einen Server aus, mit dem Sie bereits eine Verbindung hergestellt haben, oder klicken Sie auf Durchsuchen, um eine Verbindung mit einem neuen Server herzustellen. Sie können auch die Liste Server verwenden, die sich oben im Dialogfeld Forefront Server Security Administrator befindet, um schnell eine Verbindung mit einem Server wiederherzustellen.

Forefront Server Security Administrator kann auch im schreibgeschützten Modus ausgeführt werden. Dazu müssen vom Administrator die NTFS-Dateisystemberechtigungen im Datenbankverzeichnis von Forefront Security für Exchange Server angepasst werden, und zwar so, dass nur diejenigen Benutzer einen Änderungszugriff erhalten, die berechtigt sind, die Einstellungen von Forefront Security für Exchange Server zu ändern. Standardmäßig lautet das Datenbankverzeichnis Programme(x86)\Microsoft Forefront Security\Exchange Server\Data.

So stellen Sie die ordnungsgemäße Konfiguration sicher
  1. Starten Sie den Windows-Explorer.

  2. Navigieren Sie auf dem ersten Server zum Ordner von Microsoft Forefront Security\Exchange Server.

  3. Klicken Sie mit der rechten Maustaste auf den Ordner, und wählen Sie Eigenschaften. Die Eigenschaftenseite wird angezeigt.

  4. Klicken Sie auf die Registerkarte Sicherheit.

  5. Fügen Sie einen Benutzer oder eine Gruppe hinzu, dem bzw. der Sie schreibgeschützten Zugriff gewähren möchten.

  6. Deaktivieren Sie alle Zugriffe unter Zulassen bis auf Lesen und Ausführen.

  7. Speichern und schließen Sie die Eigenschaftenseiten.

  8. Navigieren Sie zum Registrierungsschlüssel Forefront Server Security. Er befindet sich unter HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server

  9. Klicken Sie mit der rechten Maustaste, und wählen Sie Berechtigungen aus.

  10. Fügen Sie den Benutzer oder die Gruppe hinzu, dem bzw. der Sie schreibgeschützten Zugriff gewähren möchten.

  11. Deaktivieren Sie alle Zugriffe unter Zulassen bis auf Lesen (Spezielle Berechtigungen kann ebenfalls aktiviert bleiben).

  12. Navigieren Sie zum Registrierungsschlüssel Administrator direkt unter dem Schlüssel Forefront Server Security.

  13. Klicken Sie mit der rechten Maustaste auf den Schlüssel, und wählen Sie Berechtigungen.

  14. Fügen Sie den Benutzer oder die Gruppe hinzu, dem bzw. der Sie schreibgeschützten Zugriff gewähren möchten.

  15. Aktivieren Sie Vollzugriff.

  16. Starten Sie die DCOM-Konfiguration, indem Sie auf Start und dann auf Ausführen klicken und anschließend dcomcnfg eingeben. Das Dialogfeld Komponentendienste wird angezeigt.

  17. Erweitern Sie im Bereich Konsolenstamm den Knoten Komponentendienste.

  18. Erweitern Sie Computer.

  19. Erweitern Sie Arbeitsplatz.

  20. Erweitern Sie DCOM-Konfiguration.

  21. Klicken Sie mit der rechten Maustaste auf DCOM-Konfiguration, und wählen Sie Eigenschaften aus.

  22. Klicken Sie auf die Registerkarte Sicherheit.

  23. Klicken Sie im Bereich Start- und Aktivierungsberechtigungen auf die Schaltfläche Bearbeiten.

  24. Fügen Sie den Benutzer oder die Gruppe hinzu, dem bzw. der Sie schreibgeschützten Zugriff gewähren möchten.

  25. Aktivieren Sie alle Kontrollkästchen unter Zulassen, und klicken Sie dann auf OK.

  26. Klicken Sie im Bereich Zugriffsberechtigungen auf die Schaltfläche Bearbeiten.

  27. Fügen Sie den Benutzer oder die Gruppe hinzu, dem bzw. der Sie schreibgeschützten Zugriff gewähren möchten.

  28. Aktivieren Sie alle Kontrollkästchen unter Zulassen, und klicken Sie dann auf OK.

  29. Speichern und schließen Sie die Eigenschaftenseite.

Wenn ein Benutzer ohne Änderungszugriff die Benutzeroberfläche öffnet, sind keine Konfigurationsänderungen möglich.

Hinweise:

  • Das Systemkonto und das Exchange-Dienstkonto müssen über Vollzugriff auf den Ordner von Forefront Security für Exchange Server verfügen, damit Forefront Security für Exchange Server fehlerfrei ausgeführt werden kann.

  • Wenn Sie einen Benutzer, der zur Administratorengruppe gehört, mit schreibgeschütztem Zugriff für FSE erstellen, wird der folgende Fehler angezeigt, wenn sich der Benutzer anmeldet und Forefront Server Security Administrator öffnen möchte:

    FEHLER: Verbindung zum Dienst konnte nicht hergestellt werden. Ein Fehler wurde zurückgegeben. Pfad: CocreateInstanceEx.Fehler: Zugriff verweigert.

    Dieser Fehler wird durch eine Sicherheitserweiterung in Windows Server 2003 SP1 verursacht. Gehen Sie wie folgt vor, um das Problem zu umgehen:

    1. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie dcomcnfg ein. Das Dialogfeld Komponentendienste wird angezeigt.

    2. Erweitern Sie Komponentendienste.

    3. Erweitern Sie nacheinander Computer, Arbeitsplatz und DCOM-Konfiguration.

    4. Klicken Sie mit der rechten Maustaste auf FSCController, und wählen Sie dann Eigenschaften aus.

    5. Klicken Sie auf die Registerkarte Sicherheit, und klicken Sie dann im Bereich Start- und Aktivierungsberechtigungen auf Bearbeiten.

    6. Fügen Sie Domänenbenutzer hinzu, und klicken Sie für Lokaler Start, Remotestart, Lokale Aktivierung und Remoteaktivierung auf Zulassen.

    7. Klicken Sie in beiden geöffneten Dialogfeldern auf OK.

Die Benutzeroberfläche von Forefront Server Security Administrator enthält links den Navigationsbereich und rechts den Arbeitsbereich.

Der Navigationsbereich ist wiederum in verschiedene Bereiche unterteilt, die Symbole enthalten, mit denen Sie auf verschiedene Bereiche zugreifen können:

EINSTELLUNGEN Im Bereich EINSTELLUNGEN können Sie Scanaufträge, Antiviruseinstellungen, Scannerupdates, Vorlagen und allgemeine Optionen konfigurieren.

FILTERN Im Bereich FILTERN können Sie Filterung nach Inhalten, nach Schlüsselwörtern, nach Dateien sowie Listen zulässiger Absender sowie Filterlisten konfigurieren.

BETRIEB Im Bereich BETRIEB können Sie Virenscan- und Filteroptionen festleegn, Scanaufträge planen und ausführen und schnelle Scans ausführen.

BERICHT Im Bereich BERICHT können Sie Benachrichtigungen konfigurieren, Vorfälle anzeigen und verwalten sowie unter Quarantäne gestellte Dateien anzeigen und verwalten.

Der Bereich Allgemeine Optionen, auf den Sie über den Abschnitt EINSTELLUNGEN des Navigationsbereichs zugreifen, bietet Ihnen Zugriff auf verschiedene Einstellungen auf Systemebene für Forefront Security für Exchange Server. Diese Optionen sind in der Registrierung gespeichert. Der Bereich Allgemeine Optionen ermöglicht es, diese Einstellungen zu ändern, ohne direkt auf die Systemregistrierung zugreifen zu müssen. Beachten Sie, dass nach dem Ändern der Einstellungen Scan für Forefront für Exchange aktivieren, Zählung bei Transportvorgang und Anzahl von Echtzeitprozessen die Forefront Security für Exchange Server-Dienste neu gestartet werden müssen, damit die Änderungen wirksam werden.

Obwohl viele Optionen über den Bereich Allgemeine Optionen gesteuert werden können, sollten Sie möglicherweise die für jede Option voreingestellte Standardeinstellung (Aktiviert, Deaktiviert oder Wert) für Ihr Unternehmen übernehmen. Diese Einstellungen müssen nur sehr selten geändert werden. Einige dieser Einstellungen wurden jedoch während der Installation eingegeben, und es ist möglich, dass Sie eine davon gelegentlich ändern müssen.

Klicken Sie im Navigationsbereich im Abschnitt Einstellungen auf Allgemeine Optionen, um auf den Bereich Allgemeine Optionen zuzugreifen. Der Bereich Allgemeine Optionen wird geöffnet.

Der Arbeitsbereich Allgemeine Optionen ist in mehrere Teilbereiche untergliedert: Diagnose, Protokollierung, Scannerupdates, Scannen und Hintergrundscan.

In der folgenden Liste sind die Einstellungen im Abschnitt Diagnose des Bereichs Allgemeine Optionen mit Erläuterungen enthalten.

 

Einstellung Beschreibung

Zusätzlich, Transport

Zusätzliche Diagnosenachrichten werden für den Transportscan zu Programlog.txt hinzugefügt. Diese Option ist standardmäßig deaktiviert.

Zusätzlich, Manuell

Zusätzliche Diagnosenachrichten werden für den manuellen Scan zu Programlog.txt hinzugefügt. Diese Option ist standardmäßig deaktiviert.

Zusätzlich, Echtzeit

Zusätzliche Diagnosenachrichten werden für den Echtzeitscan zu Programlog.txt hinzugefügt. Diese Option ist standardmäßig deaktiviert.

Beim Start benachrichtigen

Gibt an, dass beim Start des Internetscanners automatisch eine Benachrichtigung an alle E-Mail-Adressen in der Virusadministratorenliste gesendet wird. Diese Option ist standardmäßig deaktiviert.

Transportmail archivieren

Ermöglicht Administratoren, eingehende und ausgehende Edgetransport- oder Hubtransport-E-Mails in zwei Ordnern (In und Out) im Installationsordner von Forefront Security für Exchange Server zu archivieren. Jede Nachricht erhält einen Dateinamen, der aus Jahr, Tag, Monat, Uhrzeit und einer dreistelligen Ziffer besteht. Beispiel: 20022009102005020.eml.

Diese Optionen sollen Administratoren und Mitarbeitern des technischen Supports von Forefront Security für Exchange Server helfen, potenzielle Benutzerprobleme zu diagnostizieren und zu isolieren.

Die Archivierungsoptionen lauten:

Kein Archiv (Standard)Es werden keine E-Mails archiviert.

Vor Scan archivierenNachrichten werden vor dem Scannen archiviert.

Nach Scan archivierenNachrichten werden nach dem Scannen archiviert.

Vor und nach Scan archivierenNachrichten werden vor und nach dem Scannen archiviert.

Liste mit kritischen Benachrichtigungen

Gibt Administratoren und andere Personen an, die benachrichtigt werden sollen, wenn Forefront Security für Exchange Server beim Start des Exchange-Speichers nicht eingehängt ist oder wenn der Speicher von Forefront Security aufgrund eines Fehlers beendet wird. Mehrere E-Mail-Adressen werden durch Semikolon getrennt. Beispiel: admin@microsoft.com;admin2@microsoft.com.

In der folgenden Liste sind die Einstellungen im Abschnitt Protokollierung des Bereichs Allgemeine Optionen mit Erläuterungen enthalten.

 

Einstellung Beschreibung

Ereignisprotokoll aktivieren

Aktiviert das Protokollieren von FSE-Ereignissen im Ereignisprotokoll. Diese Option ist standardmäßig aktiviert.

Leistungsüberwachung und Statistik aktivieren

Aktiviert das Protokollieren von FSE-Leistungsstatistiken im Snap-In Systemmonitor. Diese Option ist standardmäßig aktiviert.

Forefront-Programmprotokoll aktivieren

Aktiviert das Forefront-Programmprotokoll (ProgramLog.txt). Diese Option ist standardmäßig aktiviert.

Forefront-Virusprotokoll aktivieren

Aktiviert das Forefront-Virusprotokoll (VirusLog.txt). Diese Option ist standardmäßig deaktiviert.

Vorfallprotokollierung aktivieren - Transport

Aktiviert die Vorfallprotokollierung für den Transportscanauftrag. Diese Option ist standardmäßig aktiviert.

Vorfallprotokollierung aktivieren - Echtzeit

Aktiviert die Vorfallprotokollierung für den Echtzeitscanauftrag. Diese Option ist standardmäßig aktiviert.

Vorfallprotokollierung aktivieren - Manuell

Aktiviert die Vorfallprotokollierung für den manuellen Scanauftrag. Diese Option ist standardmäßig aktiviert.

Max. Größe des Programmprotokolls

Gibt die maximale Größe des Programmprotokolls an. Die Größenangabe erfolgt in Kilobytes (KB). Die Mindestgröße beträgt 512 KB. Der Wert 0 (Standard) gibt an, dass keine Größenbegrenzung besteht.

Weitere Informationen zu den Protokolldateien und dem Snap-In Systemmonitor finden Sie unter Berichterstattung und Statistik.

In der folgenden Liste sind die Einstellungen im Abschnitt Scanner-Updates des Bereichs Allgemeine Optionen mit Erläuterungen enthalten.

 

Einstellung Beschreibung

Neuverteilungsserver

Gibt an, dass dieser Server als zentraler Hub fungiert, um Scanner-Updates an andere Server zu verteilen. Diese Option ist standardmäßig deaktiviert. (Weitere Informationen finden Sie unter Aktualisieren des Dateiscanners.)

Updates beim Start ausführen

Gibt an, dass Module bei jedem Start von FSE automatisch aktualisiert werden. Diese Option ist standardmäßig deaktiviert.

Update-Benachrichtigung senden

Gibt an, dass nach jeder Aktualisierung eines Scanmoduls eine Benachrichtigung an den Virus-Administrator gesendet wird. Diese Option ist standardmäßig deaktiviert. (Weitere Informationen zum Einrichten von Benachrichtigungen an Administratoren finden Sie unter E-Mail-Benachrichtigungen.)

Proxyeinstellungen verwenden

Gibt an, dass beim Abrufen von Antivirusscanner-Updates die Proxyeinstellungen verwendet werden sollen. Diese Option ist standardmäßig deaktiviert, sofern Sie nicht bei der Installation angegeben haben, dass Proxyeinstellungen verwendet werden sollen. (Weitere Informationen finden Sie unter "Aktualisieren des Dateiscanners über einen Proxy" im Kapitel Aktualisieren des Dateiscanners.)

UNC-Anmeldeinformationen verwenden

Gibt an, dass beim Abrufen von Antivirusscanner-Updates Anmeldeinformationen erforderlich sind, die der universellen Namensgebung (Universal Naming Convention, UNC) entsprechen. Diese Option ist standardmäßig deaktiviert. (Weitere Informationen finden Sie unter Aktualisieren des Dateiscanners.) Diese Anmeldeinformationen werden nicht unterstützt, wenn die Neuverteilung über Microsoft Forefront Server Security Management Console erfolgt. Stellen Sie daher sicher, dass diese Einstellung deaktiviert ist, wenn Sie Updates des Antivirusmoduls mit Microsoft Forefront Server Security Management Console verwalten.

Name/IP-Adresse des Proxyservers

Der Name bzw. die IP-Adresse des Proxyservers. Diese Angabe ist erforderlich, wenn beim Abrufen von Antivirusscanner-Updates Proxyeinstellungen verwendet werden. Falls Sie bei der Installation angegeben haben, dass Proxyeinstellungen verwendet werden sollen, wird der dann eingegebene Wert für dieses Feld verwendet.

Proxyanschluss

Gibt die Portnummer des Proxyservers an. Diese Angabe ist erforderlich, wenn beim Abrufen von Antivirusscanner-Updates Proxyeinstellungen verwendet werden. Der Standardport ist 80. Falls Sie bei der Installation angegeben haben, dass Proxyeinstellungen verwendet werden sollen, wird der dann eingegebene Wert für dieses Feld verwendet.

Proxy-Benutzername

Der Name eines Benutzers mit Zugriffsrechten für den Proxyserver (falls erforderlich). Optionales Feld.

Proxy-Kennwort

Das entsprechende Kennwort für den Proxy-Benutzernamen (falls erforderlich). Optionales Feld.

UNC-Benutzername

Der Name eines Benutzers mit Zugriffsrechten für den UNC-Pfad (falls erforderlich). Optionales Feld.

UNC-Kennwort

Das entsprechende Kennwort für den UNC-Benutzernamen (falls erforderlich). Optionales Feld.

Weitere Informationen zum Aktualisieren von Scanmodulen finden Sie unter Aktualisieren des Dateiscanners.

In der folgenden Liste sind die Einstellungen im Abschnitt Scannen des Bereichs Allgemeine Optionen mit Erläuterungen enthalten.

 

Einstellung Beschreibung

Textscan - Manuell

Aktiviert das Scannen des Nachrichtentexts für den manuellen Scanauftrag. Diese Option ist standardmäßig deaktiviert.

Textscan - Echtzeit

Aktiviert das Scannen des Nachrichtentexts für den Echtzeitscanauftrag. Diese Option ist standardmäßig deaktiviert.

Beschädigte komprimierte Dateien löschen

Gibt an, ob beschädigte komprimierte Dateien gelöscht werden sollen. Eine beschädigte komprimierte Datei weist den Typ einer Archivdatei oder komprimierten Datei auf, erfüllt jedoch nicht den Standard dieses Typs. Bei diesen Dateien sind normalerweise die internen Header nicht ordnungsgemäß festgelegt, oder die Datei übersteigt die in FSE konfigurierte Größenbeschränkung.

Wenn eine beschädigte komprimierte Datei erkannt wird, meldet FSE diese als CorruptedCompressedFile-Virus. Diese Option ist standardmäßig aktiviert.

Die Quarantäne dieser Dateien wird durch die einzelnen Scanauftrageinstellungen bestimmt. In der Standardeinstellung werden als beschädigt erkannte Dateien unter Quarantäne gestellt. Sie können auch einen neuen Registrierungsschlüssel mit dem Namen QuarantineCorruptedCompressedFiles erstellen, um die Quarantäne für diese Dateitypen außer Kraft zu setzen. Die DWORD-Einstellung muss erstellt werden, und es muss der Wert 0 dafür festgelegt werden.

HinweisHinweis:
Neben CorruptedCompressedFile-Viren werden durch diese Einstellung auch die folgenden Dateitypen behandelt:

UnwritableCompressedFile - Ein Typ von beschädigter komprimierter Datei, deren Inhalt aufgrund der Beschädigung nicht ordnungsgemäß bearbeitet (bereinigt oder gelöscht) oder von den Scannern wieder ordnungsgemäß ins Archiv eingefügt werden kann.

UnReadableCompressedFile - Ein Typ von beschädigter komprimierter Datei, deren Inhalt aufgrund der Beschädigung nicht ordnungsgemäß aus dem Archiv gelesen werden kann.

Beschädigte Uuencode-Dateien löschen

Gibt an, ob beschädigte UUENCODE-Dateien gelöscht werden sollen. Normalerweise wird eine UUEncoded-Datei, die von FSE nicht analysiert werden kann, als beschädigt angesehen. Diese Dateien werden von FSE als CorruptedCompressedUuencodeFile-Virus gemeldet. Diese Option ist standardmäßig aktiviert.

Verschlüsselte komprimierte Dateien löschen

Gibt an, ob eine verschlüsselte komprimierte Datei, die mindestens ein verschlüsseltes Element enthält, gelöscht wird (verschlüsselte Dateien können von Antivirusscanmodulen nicht gescannt werden). Diese Option ist standardmäßig deaktiviert. Diese Dateien werden von FSE als EncryptedCompressedFile-Virus gemeldet.

ZIP-Archive, die hochkomprimierte Dateien enthalten, als beschädigt komprimiert behandeln

Gibt an, ob ZIP-Archive, die hochkomprimierte Dateien enthalten, als beschädigt komprimiert gemeldet werden sollen. Wenn das Archiv als beschädigt komprimiert gemeldet wird und die Option Beschädigte komprimierte Dateien löschen aktiviert ist, wird das Archiv gelöscht. Ist das Löschen beschädigter komprimierter Dateien nicht aktiviert, werden die Dateien im ZIP-Archiv komprimiert zum Scan an die Virusmodule übergeben. Das ZIP-Archiv selbst wird ebenfalls an die Virusmodule übergeben. Wird beim Scan keine Bedrohung gefunden, wird die Nachricht übermittelt. Kann eine Bedrohung bereinigt werden, wird die Nachricht übermittelt. Kann eine Bedrohung nicht bereinigt werden, wird die Nachricht gelöscht. Wenn die Datei mit einem unbekannten Algorithmus komprimiert ist, wird sie unabhängig von dieser Option als beschädigt komprimiert behandelt. Diese Option ist standardmäßig aktiviert (das bedeutet, ZIP-Archive, die stark komprimierte Dateien enthalten, werden als beschädigte komprimierte Dateien behandelt).

Mehrteilige RAR-Archive als beschädigt komprimiert behandeln

Eine Datei in einem RAR-Archiv kann über mehrere Dateien oder Teile hinweg (also „mehrteilig“) komprimiert sein. Dies hat den Vorteil, dass große Dateien in kleinere Dateien aufgeteilt und so einfacher übertragen werden können. Die Option gibt an, ob RAR-Archive mit solchen Bestandteilen als beschädigt komprimiert gemeldet werden.

Wenn Sie diese Option deaktivieren, können Sie solche Dateien empfangen. Allerdings wird in diesem Fall ein Virus, der über mehrere Volumes verteilt ist, möglicherweise nicht erkannt. Daher ist diese Einstellung standardmäßig aktiviert.

Wenn das Archiv als beschädigt komprimiert gemeldet wird und die Option Beschädigte komprimierte Dateien löschen aktiviert ist, wird das Archiv gelöscht. Ist Beschädigte komprimierte Dateien löschen nicht aktiviert, wird nur das gesamte RAR-Archiv zum Scan an die Virusmodule übergeben. Wird beim Scan des Archivs keine Bedrohung gefunden, wird die Nachricht übermittelt. Wird eine Bedrohung gefunden und kann bereinigt werden, wird die Nachricht übermittelt. Wird eine Bedrohung gefunden und kann nicht bereinigt werden, wird die Nachricht gelöscht. Diese Option ist standardmäßig aktiviert.

HinweisHinweis:
Wenn Sie in einem mehrteiligen RAR-Archiv Dateien komprimieren, die unkomprimiert 100 MB überschreiten, sollten Sie den Registrierungswert MaxUncompressedFileSize beachten. Weitere Informationen finden Sie unter Registrierungsschlüssel.

Verkettete Gzips als beschädigt und komprimiert behandeln

Mehrere GNU Zip-Dateien (gzip) können zu einer Datei verkettet werden. Zwar werden verkettete GNU Zip-Dateien von FSE erkannt, die einzelnen auf mehrere verkettete GNU Zip-Dateien verteilten Dateien werden jedoch möglicherweise nicht erkannt. Daher werden verkettete GNU Zip-Dateien von FSE standardmäßig als beschädigt komprimiert behandelt. Zusammen mit der Option Beschädigte komprimierte Dateien löschen wird dadurch verhindert, dass verkettete GNU Zip-Dateien durchgelassen werden. Dadurch werden mögliche Infektionen vermieden.

Durch Deaktivieren der Option Verkettete Gzips als beschädigt und komprimiert behandeln können Sie verkettete GNU Zip-Dateien empfangen. Jedoch besteht in diesem Fall die Gefahr, dass ein Virus nicht entdeckt wird.

Doc-Dateien als Container scannen - Manuell

Gibt an, dass DOC-Dateien und andere Dateien mit strukturiertem Speicher und OLE-eingebettetem Dateiformat (beispielsweise XLS, PPT oder SHS) vom manuellen Scanauftrag als Containerdateien gescannt werden. Auf diese Weise wird sichergestellt, dass eingebettete Dateien als potenzielle Virenträger gescannt werden. Diese Einstellung gilt nicht für Office 2007-Dateien (OpenXML). Diese werden immer als Container gescannt. Weitere Informationen zu OpenXML-Dateien finden Sie unter Liste der Dateitypen. Diese Option ist standardmäßig deaktiviert.

Doc-Dateien als Container scannen - Transport

Gibt an, dass DOC-Dateien und andere Dateien mit strukturiertem Speicher und OLE-eingebettetem Dateiformat (beispielsweise XLS, PPT oder SHS) vom Transportscanauftrag als Containerdateien gescannt werden. Auf diese Weise wird sichergestellt, dass eingebettete Dateien als potenzielle Virenträger gescannt werden. Weitere Informationen zu OpenXML-Dateien finden Sie unter Liste der Dateitypen. Diese Option ist standardmäßig deaktiviert.

Doc-Dateien als Container scannen - Echtzeit

Gibt an, dass DOC-Dateien und andere Dateien mit strukturiertem Speicher und OLE-eingebettetem Dateiformat (beispielsweise XLS, PPT oder SHS) vom Echtzeitscanauftrag als Containerdateien gescannt werden. Auf diese Weise wird sichergestellt, dass eingebettete Dateien als potenzielle Virenträger gescannt werden. Weitere Informationen zu OpenXML-Dateien finden Sie unter Liste der Dateitypen. Diese Option ist standardmäßig deaktiviert.

Beim Filtern nach Schlüsselwörtern Groß- und Kleinschreibung beachten

Gibt an, dass beim Filtern nach Schlüsselwörtern die Groß-/Kleinschreibung beachtet wird. Diese Option ist standardmäßig deaktiviert (das heißt, beim Filtern wird die Groß-/Kleinschreibung nicht beachtet).

Mime-Header mit einzelnem Wagenrücklauf oder Zeilenvorschub korrigieren

Gibt an, ob FSE einzelne Wagenrückläufe oder Zeilenverschübe korrigieren soll. Dies berichtigt eine Diskrepanz zwischen der Parsermethode für MIME-Header von Microsoft Outlook® bzw. Outlook Express und der RFC 822-Spezifikation beim Verarbeiten eines einzelnen Wagenrücklaufs (0x0d) bzw. Zeilenvorschubs (0x0a) in MIME-Headern. Diese Option ist standardmäßig deaktiviert. Wenn die Option aktiviert ist, korrigiert sie nicht kompatible MIME-Nachrichten, sodass diese die RFC 2822-Spezifikation erfüllen. Dies bedeutet, dass einzelne Wagenrückläufe oder Zeilenvorschübe durch eine "CR-LF"-Kombination ersetzt werden. Nachrichten mit einzelnen Wagenrückläufen oder Zeilenvorschüben können von verschiedenen E-Mail-Clients unterschiedlich analysiert werden. FSE analysiert diese Nachrichten ebenso wie Microsoft Outlook und Outlook Express. Wenn dieses Feature aktiviert ist, ändert FSE diese Nachrichten so, dass sie die RFC 2822-Spezifikation erfüllen. Infolgedessen analysieren alle E-Mail-Clients die Nachrichten auf dieselbe Art und Weise. Wenn dieses Feature deaktiviert ist, analysieren andere E-Mail-Clients als Microsoft Outlook und Outlook Express Nachrichten mit einzelnen Wagenrückläufen oder Zeilenvorschüben anders als FSE. Daher könnte ein Virus die Erkennung umgehen. Um die Systemleistung zu maximieren, ist dieses Feature standardmäßig deaktiviert. Wenn Ihr Unternehmen E-Mail-Clients einsetzt, die Nachrichten mit einzelnen Wagenrückläufen oder Zeilenvorschüben anders interpretieren als als Microsoft Outlook und Outlook Express, sollten Sie dieses Feature aus Sicherheitsgründen aktivieren.

Leistung durch Überspringen von bereits auf Viren gescannten Nachrichten optimieren - Transport

Konfiguriert Forefront Security für Exchange Server so, dass Nachrichten nicht noch einmal gescannt werden, die bereits durch eine andere Instanz von Forefront Security für Exchange Server in einer beliebigen Konfiguration gescannt wurden. Dies gilt für Nachrichten, die auf Transportservern empfangen werden, die bereits von Forefront Security für Exchange Server auf einem anderen Transportserver innerhalb der Exchange-Organisation gescannt wurden. Diese Option ist standardmäßig aktiviert.

Bei Scanner-Update scannen

Bewirkt, dass bereits gescannte Dateien erneut gescannt werden, wenn nach einem Scannerupdate darauf zugegriffen wird. Diese Einstellung gilt für Nachrichten, die auf einem Postfachserver oder einem Server für öffentliche Ordner gespeichert werden. Diese Einstellung bietet höheren Sicherheitsschutz, da bereits gescannte Nachrichten erneut überprüft werden. Nachrichten werden beim ersten Zugriffsscanereignis des Postfachservers und bei jedem nachfolgenden Zugriffsscanereignis erneut gescannt, wenn seit dem letzten Scannen der Nachricht neue Virussignaturen empfangen wurden. Diese Option ist standardmäßig deaktiviert.

VorsichtVorsicht:
Wenn diese Option aktiviert ist und während eines Hintergrundscans ein Modulupdate auftritt, wird der Hintergrundscan bei der gescannten E-Mail neu gestartet. Wenn weitere Updates auftreten, bevor der Hintergrundscan abgeschlossen ist, wird der Hintergrundscan unbegrenzt weiter ausgeführt. Daher wird empfohlen, keinen Hintergrundscan für ein großes Dataset zu planen, wenn diese Option aktiviert ist.
WichtigWichtig:
Wenn diese Option aktiviert ist, wird der Postfachserver unter Umständen vermehrt nach Viren gescannt, wodurch die Serverleistung beeinträchtigt wird. Beachten Sie auch, dass die Aktivierung dieser Einstellung automatisch das proaktive Scannen aktiviert. Weitere Informationen finden Sie unter "Informationen zum proaktiven Scannen" unter Echtzeitscanauftrag.
HinweisHinweis:
Nachrichten, die von im Cachemodus ausgeführten Clients von Microsoft Outlook 2003 oder Microsoft Outlook 2007 abgerufen werden, erzeugen nur dann ein Zugriffsscanereignis, wenn sie ursprünglich mit dem Client synchronisiert wurden. Sie werden nicht erneut auf dem Server gescannt, wenn auf dem lokalen Client auf die Nachricht zugegriffen und sie aus dem Cache abgerufen wird. Verwenden Sie im Abschnitt Hintergrund-Scan unter Allgemeinen Optionen die Option Hintergrund-Scan aktivieren, wenn "Bei Scanner-Update scannen" aktiviert ist, um diese bereits abgerufenen Nachrichten erneut zu scannen. Wird beim Hintergrundscan in einer Nachricht ein Virus entdeckt und die Nachricht daraufhin bereinigt oder entfernt, wird die bereits abgerufene infizierte Nachricht bei der erneuten Synchronisierung des Outlook-Clients mit dem Server ebenfalls bereinigt oder entfernt.

Invertiertes DNS-Lookup durchführen

Hiermit kann ein umgekehrtes DNS-Lookup für die Bestimmung von Eingang/Ausgang aktiviert werden, wenn die Liste Interne Adresse Einträge enthält, die nicht mit dem Domänennamen des Servers übereinstimmen. Die Bestimmung von Eingang/Ausgang wird beim Filtern nach Schlüsselwörtern bzw. Dateien verwendet. Ist diese Option ausgewählt (aktiviert), kann mit Forefront Security für Exchange Server anhand der invertierten DNS-Suche der Domänenname abgefragt und die Bestimmung von Eingang/Ausgang durchgeführt werden. Ist die Option nicht ausgewählt (deaktiviert), wird mit Forefront Security für Exchange Server die Bestimmung von Eingang/Ausgang anhand der Informationen im Received-Header sowie der sicheren Verteilerinformationen aus dem Exchange-Transportdienst durchgeführt. Diese Option ist standardmäßig deaktiviert.

Nachricht entfernen, wenn Nachrichtentext gelöscht wird – Transport

Einige Nachrichten enthalten Viren im Textkörper der Nachrichtendatei. Wenn der Nachrichtentext ganz oder teilweise gelöscht wird, um einen Virus zu entfernen, wird mithilfe von Forefront Security für Exchange Server an seiner Stelle ein Ersatztext (Text für das Löschen) eingefügt. Wenn E-Mail-Benutzer keine bereinigten Nachrichten mit einem derartigem Text erhalten sollen, können Administratoren mit dieser Einstellung Nachrichten entfernen, in denen der Nachrichtentext ganz oder teilweise gelöscht wurde und die keine Anlagen enthalten. Beachten Sie, dass bei Auswahl dieser Option auch Nachrichten mit Text im HTML- und im Nur-Text-Format, in denen der HTML-Text gelöscht wird, dauerhaft entfernt werden. Diese Option ist standardmäßig deaktiviert.

Scan für Forefront für Exchange aktivieren

Hiermit können Administratoren alle oder ausgewählte Aufträge von Forefront Security für Exchange Server aktivieren bzw. deaktivieren. Die verfügbaren Optionen lauten Alle deaktivieren, Speicher-Scan aktivieren (Echtzeit und Manuell), Transport-Scan aktivieren und Alle aktivieren (Standard). Nach dem Ändern dieser Einstellung müssen die Forefront Security für Exchange Server-Dienste wiederverwendet werden. (Weitere Informationen zum Wiederverwenden von Diensten finden Sie unter "Wiederverwenden der Dienste von Forefront Security für Exchange Server" unter Forefront Security für Exchange Server-Dienste.)

Zählung bei Transportvorgang

Hiermit kann die Zahl der von Forefront Security für Exchange Server verwendeten FSCTransportScanning-Prozesse geändert werden. Der Standardwert ist 4. Sie können bis zu 10 Transportvorgänge erstellen. Nach dem Ändern dieser Einstellung müssen die Forefront Security für Exchange Server-Dienste wiederverwendet werden. (Weitere Informationen zu dieser Einstellung finden Sie unter Transportscanauftrag.)

Anzahl von Echtzeitprozessen

Hiermit kann die Zahl der von Forefront Security für Exchange Server verwendeten Echtzeitprozesse geändert werden. Der Standardwert ist 4. Sie können bis zu 10 Echtzeitprozesse erstellen. Nach dem Ändern dieser Einstellung müssen die Forefront Security für Exchange Server-Dienste wiederverwendet werden. (Weitere Informationen zu dieser Einstellung finden Sie unter Echtzeitscanauftrag.)

Forefront-Priorität für manuellen Scan

Hiermit können Administratoren die CPU-Priorität für manuelle Scans auf einen der folgenden Werte festlegen: Normal (Standard), Geringer als Normal oder Niedrig. Damit können bei einer hohen Auslastung der Serverressourcen wichtige Aufträge manuellen Scans vorgezogen werden.

Aktion bei Modul-Fehler

Hiermit können Administratoren festlegen, welche Aktion beim Auftreten von Scanmodulfehlern ausgeführt werden soll. (Beispiele hierfür sind eine Modulausnahme, zu viele Schreib-/Lesevorgänge, ein gefundener Virus ohne Virusnamen, mehrere Modulfehler und jeder andere Fehlercode, der von einem Modul zurückgegeben wird.) Die Optionen umfassen: Ignorieren, wodurch der Fehler im Programmprotokoll verzeichnet wird, Überspringen: nur erkennen, wodurch der Fehler im Programmprotokoll eingetragen und ein EngineError-Eintrag mit dem Status Erkannt auf der Benutzeroberfläche angezeigt wird, und Löschen, wodurch der Fehler im Programmprotokoll eingetragen wird, die Datei gelöscht wird, die den Fehler verursacht hat, und ein EngineError-Eintrag mit dem Status Entfernt auf der Benutzeroberfläche angezeigt wird. Die Datei, die den Modulfehler verursacht hat, wird immer unter Quarantäne gestellt. Der Standardwert ist Löschen.

Aktion bei ungültigem MIME-Header

Wenn bei einem Scan mit Forefront Security für Exchange Server ein ungültiger MIME-Header gefunden wird, kann als Einstellung entweder Entfernen: Nachricht eliminieren (Standardeinstellung) oder Ignorieren zum Übergehen der Nachricht festgelegt werden. Ungültige MIME-Header sind Nachrichten, bei denen der Content-Disposition- oder der Content-Type-Header ungewöhnlich lang sind. Identifizierte Nachrichten werden standardmäßig unter Quarantäne gestellt. Wenn Sie identifizierte Nachrichten nicht unter Quarantäne stellen möchten, erstellen Sie einen neuen DWORD-Wert in der Registrierung mit der Bezeichnung DisableQuarantineForIllegalMimeHeader, und legen Sie dafür den Wert 1 fest, um die Quarantäne außer Kraft zu setzen.

Aktion bei Zeitüberschreitung bei Transport-Scan

Gibt an, was geschehen soll, wenn beim Scannen einer Datei per Transportscan das Zeitlimit überschritten wird. Die Optionen lauten Ignorieren, Überspringen: nur erkennen und Löschen. Mit der Einstellung Ignorieren kann die Datei weitergeleitet werden, ohne gescannt zu werden. Die Einstellung Überspringen trägt im Vorfallprotokoll und im Programmprotokoll ein, dass die Datei die Scanzeit überschritten hat, und die Datei wird ohne Scannen weitergeleitet. Die Einstellung Löschen meldet das Ereignis, und der Dateiinhalt wird durch den Text für das Löschen ersetzt. Eine Kopie der Datei wird in der Quarantänedatenbank gespeichert, wenn die Quarantänefunktion aktiviert ist und für Aktion bei Zeitüberschreitung bei Transport-Scan entweder der Wert Überspringen oder Löschen festgelegt wurde. Der Standardwert ist Löschen.

Aktion bei Zeitüberschreitung bei Echtzeit-Scan

Gibt an, was geschehen soll, wenn beim Scannen einer Datei per Echtzeitscan das Zeitlimit überschritten wird. Die Optionen lauten Ignorieren, Überspringen: nur erkennen und Löschen. Mit der Einstellung Ignorieren kann die Datei weitergeleitet werden, ohne gescannt zu werden. Die Einstellung Überspringen trägt im Vorfallprotokoll und im Programmprotokoll ein, dass die Datei die Scanzeit überschritten hat, und die Datei wird ohne Scannen weitergeleitet. Die Einstellung Löschen meldet das Ereignis, und der Dateiinhalt wird durch den Text für das Löschen ersetzt. Eine Kopie der Datei wird in der Quarantänedatenbank gespeichert, wenn die Quarantänefunktion aktiviert ist und für Aktion bei Zeitüberschreitung bei Echtzeit-Scan entweder der Wert Überspringen oder Löschen festgelegt wurde. Der Standardwert ist Löschen.

Nachrichten unter Quarantäne stellen

Mit Forefront Security für Exchange Server können zwei unterschiedliche Quarantänevorgänge ausgeführt werden: die Quarantäne gesamter Nachrichten oder die Quarantäne von Anlagen. Ganze Nachrichten werden nur für Inhalts- und Dateifilter unter Quarantäne gestellt, die auf Entfernen festgelegt sind, wenn die Quarantäne aktiviert ist. Sie können zwischen folgenden Optionen wählen:

Als einzelne EML-Datei unter Quarantäne stellen (Standard) – Die isolierte Nachricht und alle Anlagen werden im EML-Dateiformat unter Quarantäne gestellt.

Nachrichtentext und Anhänge getrennt unter Quarantäne stellen – Nachrichten werden in getrennten Teilen (Textkörper und Anlagen) unter Quarantäne gestellt.

Eine vollständige Beschreibung dieser Einstellung finden Sie unter "Quarantäne".

Beachten Sie, dass diese Einstellungen nicht für Dateien gelten, die aufgrund eines Virusscans unter Quarantäne gestellt wurden. Es werden nur infizierte Anlagen unter Quarantäne gestellt, wenn eine Infektion entdeckt wird.

Aus Quarantänesicherheit übermitteln

Dieser Wert verschafft Administratoren Flexibilität beim Umgang mit Nachrichten und Anlagen, die aus der Quarantäne weitergeleitet werden. Die Optionen für diese Einstellungen sind Sicherer Modus und Kompatibilitätsmodus.

  • Sicherer Modus: Dieser Modus erzwingt, dass alle Nachrichten und Anlagen aus der Quarantäne übermittelt werden, um sie erneut auf Viren und Filterübereinstimmungen zu scannen. Dies ist die Standardeinstellung.

  • Kompatibilitätsmodus: Dieser Modus ermöglicht, dass Nachrichten und Anlagen aus der Quarantäne übermittelt werden können, ohne auf Filterübereinstimmungen gescannt werden zu müssen. (Nachrichten und Anlagen werden immer auf Viren geprüft.) Mit Forefront Security für Exchange Server werden diese Nachrichten identifiziert, indem bei allen Nachrichten, die aus der Quarantäne übermittelt werden, ein spezieller Kennzeichnungstext in die Betreffzeile eingefügt wird.

(Weitere Informationen zu dieser Einstellung finden Sie unter Berichterstattung und Statistik.)

Senderinformationen transportieren

Standardmäßig wird von Forefront Security für Exchange Server der MIME-Header Von: als Absenderadresse für den Transportscanauftrag verwendet. Mit dieser Einstellung können Administratoren auch die Absenderadresse MAIL FROM von SMTP für den Transportscanauftrag verwenden. Wenn Transportprotokoll "MAIL FROM:" verwenden ausgewählt ist, wird immer die Adresse in diesem Feld als Absenderadresse verwendet, z. B. beim Filtern nach Absender oder Domäneninhalt, bei Benachrichtigungen oder bei der Berichterstellung in Administrator. Die Optionen für diese Einstellung sind:

  • MIME-Kopfzeile "Von:" verwenden (Standardeinstellung).

  • Transportprotokoll "MAIL FROM:" verwenden

Beachten Sie, dass die Informationen zum MIME-Absenderheader verwendet werden, wenn MIME-Kopfzeile: "Von:" ausgewählt und ein MIME-Absendeheader vorhanden ist.

Max. Infektionen der Container-Datei

Gibt die Höchstzahl der zulässigen Infektionen in einer komprimierten Datei an. Wird diese Zahl überschritten, wird die gesamte Datei gelöscht und ein Vorfall protokolliert, dass ein ExceedinglyInfected-Virus gefunden wurde. Der Wert 0 bedeutet, dass eine einzelne Infektion das Löschen des gesamten Containers bewirkt. In diesem Fall ist im protokollierten Vorfall Container Removed an die Filterübereinstimmung angefügt. Der Standardwert liegt bei 5 Infektionen.

Max. Größe der Containerdatei

Gibt an, bis zu welcher Containerdateigröße (in Byte) von FSE versucht wird, eine entdeckte infizierte Datei zu bereinigen oder zu reparieren. Der Standardwert liegt bei 26 MB (26.214.400 Bytes). Dateien, die diesen Höchstwert überschreiten, werden gelöscht, wenn sie infiziert sind oder mit den Dateifilterregeln übereinstimmen. Von Forefront Security für Exchange Server werden diese gelöschten Dateien als LargeInfectedContainerFile-Virus gemeldet.

Max. verschachtelte Anhänge

Gibt die maximale Anzahl von geschachtelten Dokumenten an, die in MSG-, TNEF-, MIME- und UUEncoded-Dateien vorhanden sein dürfen. Beachten Sie, dass eine verschachtelte MSG-Datei für den Echtzeitscanauftrag von bestimmten E-Mail-Clients nicht als verschachtelte Datei behandelt wird. Wird der Höchstwert überschritten, löscht FSE das Dokument und meldet einen ExceedinglyNested-Vorfall. Der Standardwert ist 30.

Max. verschachtelte komprimierte Dateien

Gibt die maximale Schachtelungstiefe für eine komprimierte Datei an. Wird diese Zahl überschritten, löscht FSE die gesamte Datei und sendet eine Benachrichtigung, dass ein ExceedinglyNested-Virus gefunden wurde. Der Wert null bedeutet, dass beliebig viele Schachtelungen zulässig sind. Der Standardwert ist 5.

Max. Container-Scan-Zeit (mSek) - Echtzeit/Transport

Gibt an, wie lange (in Millisekunden) eine komprimierte Anlage vom Transportscanauftrag oder IM-Scanauftrag gescannt wird, bevor sie als ScanTimeExceeded-Virus gemeldet wird. Hiermit soll ein Denial-of-Service-Risiko durch Zip-of-Death-Angriffe verhindert werden. Der Standardwert liegt bei 120.000 Millisekunden (2 Minuten).

Max. Container-Scan-Zeit (mSek) - Manuell

Gibt an, wie viele Millisekunden (ms) der manuelle Scanauftrag komprimierte Anhänge scannen soll, bevor der Anhang als ScanTimeExceeded-Virus gemeldet wird. Hiermit soll ein Denial-of-Service-Risiko durch Zip-of-Death-Angriffe verhindert werden. Der Standardwert liegt bei 600.000 Millisekunden (zehn Minuten).

Interne Adresse

Forefront Security für Exchange Server kann so konfiguriert werden, dass unterschiedliche Benachrichtigungen an interne und externe Absender und Empfänger gesendet werden. Ist die Liste der internen Namen klein, geben Sie die Domänennamen im Feld Interne Adresse ein, um anzugeben, wer interne Benachrichtigungen erhalten soll. Domänen sollten als eine durch Semikolons getrennte Liste eingegeben werden (Beispiel: microsoft.com;microsoft.net;company.com), und zwar ohne Leerzeichen. Alle Änderungen dieses Werts werden umgehend in Virenbenachrichtigungen widergespiegelt.

Achten Sie beim Eingeben eines Domänennamens im Feld Interne Adresse darauf, dass Unterdomänen durch den Eintrag abgedeckt sind.

Beispiel: domain.com umfasst subdomain.domain.com und subdomain2.domain.com.

Andere Domänen wie domain.net oder domain.org müssen einzeln eingegeben werden.

Die in Interne Adresse eingegebenen Werte werden für einen Teilzeichenfolgenvergleich mit dem Ende einer E-Mail-Adresse verwendet. So würden durch "soft.com" sowohl "someone@microsoft.com" als auch "someone@abcdef123soft.com" als interne Adressen erkannt.

Falls eine große Anzahl von Domänen als interne Adressen verwendet wird, sollten Sie diese in eine externe Datei Domains.dat eingeben und das Feld Interne Adresse leer lassen. Domains.dat wurde bei der Installation als leere Datei im in DatabasePath festgelegten Verzeichnis erstellt. Es handelt sich um eine Textdatei, in die Sie alle internen Domänen, jeweils in einer gesonderten Zeile, eingeben. Anders als das Feld Interne Adresse müssen alle Unterdomänen einzeln eingegeben werden.

Damit die externe Datei Domains.dat verwendet wird, müssen Sie den Wert des Registrierungswerts UseDomainsDat in 1 ändern (der Standardwert ist 0). Weitere Informationen über diesen Schlüssel finden Sie unter Registrierungsschlüssel.

HinweisHinweis:
Die Datei Domains.dat wird täglich um 02:00 Uhr neu geladen. Erst dann treten Änderungen in Kraft, die Sie an der Datei vorgenommen haben.

(Weitere Informationen zu internen Adressen und Benachrichtigungen finden Sie unter E-Mail-Benachrichtigungen.)

Transport für externe Hosts

Wenn Sie E-Mails per Edgetransport oder Hubtransport in Ihre Exchange-Umgebung leiten, können Sie die IP-Adresse des Edgetransportservers eingeben, um festzulegen, dass jede von diesem Server kommende E-Mail von Forefront Security für Exchange Server beim Bestimmen der anzuwendenden Filter und Scanaufträge als eingehende Nachricht behandelt wird. Wenn Sie die IP-Adresse Ihres Edge- oder Hubtransports nicht eingeben, wird mithilfe der internen Logik von Forefront Security für Exchange Server bestimmt, ob es sich um eingehende Nachrichten handelt. IP-Adressen sollten als durch Semikolons getrennte Liste ohne Leerzeichen eingegeben werden.

In der folgenden Liste sind die Einstellungen im Abschnitt Hintergrundscan des Bereichs Allgemeine Optionen mit Erläuterungen enthalten.

 

Einstellung Beschreibung

Hintergrund-Scan aktivieren, wenn "Bei Scanner-Update scannen" aktiviert ist

Gibt an, dass bei jedem Update eines Scanmoduls ein Hintergrundscan initiiert werden soll, wenn unter Allgemeine Optionen die Einstellung Bei Scanner-Update scannen aktiviert ist. Diese Option ist standardmäßig aktiviert.

Nur Nachrichten mit Anhängen scannen

Gibt an, dass nur Nachrichten mit Anlagen vom Hintergrundscanauftrag gescannt werden sollen. Diese Option ist standardmäßig aktiviert.

Nur ungescannte Nachrichten scannen

Gibt an, dass nur Nachrichten, die noch nicht gescannt wurden, vom Hintergrundscanauftrag gescannt werden sollen. Diese Option ist standardmäßig deaktiviert.

Nachrichten scannen, die eingegangen sind seit <x> Tagen

Beschränkt Hintergrundscans, indem Forefront Security für Exchange Server von Administratoren so konfiguriert werden kann, dass Nachrichten abhängig von ihrem Alter gescannt werden. Die Optionen umfassen: Beliebig, 4 Stunden, 6 Stunden, 8 Stunden, 12 Stunden, 18 Stunden, 1 Tag, 2 Tage (Standard), 3 Tage, 4 Tage, 5 Tage, 6 Tage, 7 Tage und 30 Tage.

Gehen Sie beim Festlegen dieser Option mit Vorsicht vor. Gehen sehr viele Nachrichten beim Postfachserver ein und wird ein zu langer rückwirkender Scanzeitraum ausgewählt, kann dies zu einem permanenten Hintergrundscan führen, was unter Umständen die Serverleistung beeinträchtigt. Der ausgewählte Zeitrahmen sollte so gewählt sein, dass er es ermöglicht, einer speziellen Bedrohung entgegenzuwirken oder ganz allgemein die immer vorhandene Sicherheitslücke zwischen dem Auftauchen neuer schädlicher Software und der Verfügbarkeit von Schutzsignaturen zu schließen. Wenn täglich ein Hintergrundscan ausgeführt wird (siehe Hintergrundscan und Scan bei Zugriff), wird empfohlen, die E-Mails der vergangenen zwei Tage zu scannen. Berücksichtigen Sie beim Festlegen der Zeitspanne jedoch sowohl Sicherheits- als auch Leistungskriterien.    

Eine zentralisierte Verwaltung von Forefront Security für Exchange Server erfolgt über Microsoft Forefront Server Security Management Console (FSSMC). FSSMC ermöglicht Administratoren Folgendes:

  • Installation oder Deinstallation von FSE auf lokalen Servern und Remoteservern.

  • Aktualisieren von allen oder einzelnen Scanmodulen auf lokalen Servern und Remoteservern.

  • Ausführen eines manuellen Scans auf mehreren Servern gleichzeitig.

  • Überprüfen der Version von FSE, Scanmodul und Virusdefinition auf mehreren Servern.

  • Bereitstellen von FSE-Vorlagendateien.

  • Abrufen von Virusprotokollen von mehreren Servern.

  • Abrufen von Dateien unter Quarantäne.

  • Abrufen der Datei ProgramLog.txt von einzelnen oder mehreren Servern.

  • Abrufen von Angaben zu Virusvorkommen.

  • Bereitstellen der Einstellungen unter Allgemeine Optionen.

  • Bereitstellen von Filterlistenvorlagen.

  • Erstellen von HTML-Berichten.

  • Senden von Warnmeldungen.

Detaillierte Anweisungen zum Verwenden von FSSMC finden Sie im "Benutzerhandbuch zur Verwaltungskonsole für Microsoft Forefront Server Security".

 
Anzeigen: