Bewährte Methoden für Forefront Security für Exchange Server – Überlegungen zum Scannen

 

Gilt für: Forefront Security for Exchange Server

Letzte Änderung des Themas: 2009-08-04

In diesem Abschnitt werden die Auswirkungen verschiedener Scanoptionen auf Transportscans (Transportscanauftrag) und Speicher-Scans (Echtzeit- oder manueller Scanauftrag) beschrieben. Für den Speicher-Scan gibt es vier Optionen, die nach Bedarf aktiviert werden können. Zwei sind allgemeine Optionen (Bei Scanner-Update scannen und Hintergrund-Scan aktivieren, wenn "Bei Scanner-Update scannen" aktiviert ist) und zwei sind in der Registrierung (DisableAVStamping und Proaktiver Scanvorgang) festgelegt. Alle Optionen haben Auswirkungen auf das Verhalten des Speicher-Scans (DisableAVStamping beeinflusst zudem Transportscans). Allgemein kann gesagt werden, dass mit der Aktivierung der einzelnen Optionen die Anzahl von Speicher-Scans steigt und damit auch der Schutz. Ein erhöhtes Scanpotenzial beeinträchtigt jedoch die Leistung.

Bewirkt, dass bereits gescannte Dateien erneut gescannt werden, wenn nach einer Scanmodulaktualisierung darauf zugegriffen wird. Dies bedeutet einen erhöhten Schutz, da Nachrichten mit den aktuellen Signaturen erneut gescannt werden. Diese Einstellung gilt nur für die Postfachserverfunktion. Weitere bewährte Methoden zu Scannerupdates finden Sie unter Bewährte Methoden für Forefront Security für Exchange Server – Aktualisieren von Modulen.

Verursacht bei jedem Update eines Scanmoduls einen Hintergrundscan, wenn unter Allgemeine Optionen die Einstellung Bei Scanner-Update scannen aktiviert wurde. Diese Einstellung gilt nur für die Postfachserverfunktion. Da die Module häufig aktualisiert werden, werden mit dieser Einstellung Hintergrundscans für große Postfachspeicher ausgelöst.

Nach dem Scannen der einzelnen Nachrichten in der Exchange 2007-Transportfunktion wird in FSE ein sicherer Antivirenstempel angewendet. Auf diese Weise wird doppeltes Scannen in der Postfachserverfunktion vermieden, wenn die Nachrichten im Speicher abgelegt werden.

Sie sollten den sicheren Antivirentransportstempel wie vorgesehen verwenden. Sie sollten ihn nur deaktivieren, wenn Sie unterschiedliche Module oder Filtereinstellungen auf dem Transportserver und dem Postfachserver verwenden möchten. Andernfalls kommt es zum unnötigen doppelten Scannen.

Mit dem Registrierungsschlüssel DisableAVStamping können Sie die empfohlene Standardeinstellung außer Kraft setzen. Dadurch kann der Transportstempel unterdrückt werden, und der Postfachserver behandelt die Nachricht, als sei sie zuvor noch nicht gescannt worden.

Sie können die Standardeinstellung außer Kraft setzen, indem Sie einen neuen DWORD-Wert namens DisableAVStamping mit dem Wert 1 hinzufügen. Dieser Wert ist standardmäßig nicht vorgesehen und ist auf <0> festgelegt (Standard).

In den folgenden Verzeichnissen werden Registrierungswerte durch Forefront Security für Exchange Server (FSE) gespeichert:

Für 32-Bit-Systeme

  • <HKLM\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server>

Für 64-Bit-Systeme

  • <HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server>

Wenn der Wert von DisableAVStamping auf 1 festgelegt wird, wird empfohlen, dass Sie proaktives Scannen auf allen Postfachservern aktivieren, zu denen der Transportserver weitergeleitet wird. So werden neue Nachrichten auf dem Postfachserver zum Scannen in die Warteschlange aufgenommen. Das proaktive Scannen sollte auf einem Server für Öffentliche Ordner aktiviert sein. Legen Sie den DWORD-Wert des folgenden Exchange-Schlüssels auf 1 fest (normalerweise ist er mit einem Wert von 0 deaktiviert), um proaktives Scannen für die Postfachserverfunktion oder die Öffentlicher Ordner-Serverfunktion zu aktivieren.

  • HKLM\System\CurrentControlSet\Services\MSExchangeIS\VirusScan

 
Anzeigen: