Echtzeitscanauftrag

 

Gilt für: Forefront Security for SharePoint

Letzte Änderung des Themas: 2009-05-08

Der Forefront Security für SharePoint-Echtzeitscanauftrag wird auf dem SharePoint-Server ausgeführt und scannt sofort alle Dateien, die auf den Server hochgeladen oder von ihm heruntergeladen werden. Wenn Benutzer für das Hoch- oder Herunterladen von Dokumenten einen Webbrowser oder eine Anwendung verwenden, die das SharePoint 2007-Objektmodell verwendet, sendet die VSAPI-Hook-DLL die Dokumente zum Scannen an FSSP. Mit dieser Methode, bei der Dateiübertragungen in Echtzeit gescannt werden, lässt sich die Verbreitung infizierter Dateien am effektivsten verhindern.

Beim Installieren werden drei Echtzeitscanaufträge (Prozesse) erstellt. Zusätzliche Echtzeitscanaufträge können Sie erstellen, indem Sie den Wert für den Registrierungsschlüssel „RealtimeProcessCount“ auf die Anzahl der FFSCCRealtime-Prozesse setzen, die Sie auf dem SharePoint-Server ausführen möchten. Der Höchstwert ist zehn. Weitere Informationen zu dieser Einstellung finden Sie unter Registrierungsschlüssel. Durch zusätzliche über die Standardanzahl von drei hinausgehende Echtzeitprozesse kann unter Umständen die Serverleistung beeinträchtigt werden.

HinweisHinweis:
Wenn eine infizierte Datei von FSSP bereinigt wird, die in eine Dokumentbibliothek eingecheckt wurde, wird die Dateierweiterung nicht geändert. Beispiel: Wenn die Datei Eicar.com gefunden wird, wird der Inhalt entfernt und durch den unter „Text für das Löschen“ angegebenen Text ersetzt, die Dateierweiterung COM bleibt jedoch unverändert. Der Dateiname wird also nicht in Eicar.txt geändert. Wenn dieselbe Datei jedoch als Teil einer verschachtelten komprimierten Datei bereinigt wird, wird die Erweiterung in TXT geändert.

Bei Ausführung mehrerer Echtzeitprozesse werden die Dateien vom ersten Prozess gescannt, es sei denn, dieser Prozess ist ausgelastet. In diesem Fall wird die Datei an den zweiten Prozess übergeben. Wenn der zweite Prozess ausgelastet und ein dritter aktiviert ist, wird die Datei vom dritten Prozess gescannt. Wann immer dies möglich ist, übergibt Forefront Security für SharePoint die Dateien an den ersten Prozess. Die Ausführung mehrerer Prozesse erhöht die Belastung des Servers beim Starten, wenn sie geladen werden und wenn sie für das Scannen einer Datei aufgerufen werden. Vier Echtzeitprozesse dürften normalerweise ausreichen, es sei denn, es handelt sich um Umgebungen mit hohen Volumen, die die zusätzliche Redundanz benötigen, die von drei oder vier Prozessen geboten wird. Grundsätzlich empfiehlt Microsoft das Aktivieren von nur vier Echtzeitprozessen pro Prozessor auf jedem Server.

Wenn Sie die Einstellungen für den Echtzeitscanauftrag konfigurieren, wählen Sie die zu schützenden Dokumentbibliotheken aus, und geben Sie optional unter Text für das Löschen den Text ein, der anstelle der gelöschten Dateien erscheinen soll.

HinweisHinweis:
Sie können diese SharePoint 2007-Einstellungen auch unter Antivirus-Einstellungen konfigurieren in der SharePoint-Zentraladministration von SharePoint Server 2007 ändern.
So wählen Sie die Dokumentbibliotheken aus und legen den Text für das Löschen fest
  1. Klicken Sie im Bereich EINSTELLUNGEN des Navigationsbereichs auf Scan-Auftrag. Der Arbeitsbereich Einstellungen für Scan-Auftrag wird angezeigt.

  2. Wählen Sie im oberen Teil des Arbeitsbereichs (der eine Liste der konfigurierbaren Scanaufträge enthält) den Eintrag Echtzeit-Scan-Auftrag aus.

  3. Nehmen Sie im Bereich Echtzeit-Antivirus-Konfigurationseinstellungen alle gewünschten Änderungen vor. Weitere Informationen dazu finden Sie unter Konfigurieren von Antivireneinstellungen.

  4. Optional können Sie auch unter Text für das Löschen einen Text festlegen, der anstelle des Inhalts von Dateien angezeigt wird, die gelöscht wurden, weil sie als infiziert eingestuft worden waren. Wenn Sie den Standardtext beibehalten, werden Sie informiert, dass eine infizierte Datei entfernt wurde, und es wird angegeben, um welche Datei und welchen Virus es sich gehandelt hat. Wenn Sie eine eigene Nachricht erstellen möchten, klicken Sie auf Text für das Löschen.

    HinweisHinweis:
    FSSP enthält Schlüsselwörter, die Sie unter „Text für das Löschen“ verwenden können, um Informationen aus der Nachricht abzurufen, in der die Infektion aufgetreten ist. Weitere Informationen zu diesem Feature finden Sie unter Schlüsselwortersetzungsmakros.
  5. Konfigurieren Sie die Module für den Scan. Weitere Informationen dazu finden Sie unter Konfigurieren von Antivireneinstellungen.

  6. Klicken Sie auf Speichern, um Ihre Scanauftragskonfiguration zu speichern.

Es gibt verschiedene Einstellungen, die Sie für den Echtzeitscanauftrag anpassen können.

So konfigurieren Sie Antiviruseinstellungen
  1. Klicken Sie im Bereich EINSTELLUNGEN des Navigationsbereichs auf das Symbol Antivirus. Der Arbeitsbereich Antiviruseinstellungen wird angezeigt.

  2. Wählen Sie in der Liste im oberen Bereich die Option Echtzeit-Scan-Auftrag aus. Die aktuellen Einstellungen werden im unteren Abschnitt des Arbeitsbereichs angezeigt.

    HinweisHinweis:
    Alle Einstellungen in diesem Bildschirm sind schreibgeschützt. Unter den Einstellungen finden Sie einen Link auf die SharePoint Administration-Site, wo Sie Änderungen mithilfe der SharePoint-Benutzeroberfläche vornehmen können.

    Dokumente beim Hochladen scannen – Dokumente werden gescannt, wenn sie auf den Computer mit SharePoint Portal Server hochgeladen werden. Die Option ist standardmäßig aktiviert.

    Dokumente beim Herunterladen scannen – Dokumente werden gescannt, wenn sie vom Computer mit SharePoint Portal Server heruntergeladen werden. Die Option ist standardmäßig aktiviert.

    Benutzern das Herunterladen von infizierten Dokumenten ermöglichen – Ermöglicht es Benutzern, infizierte Dokumente herunterzuladen. Wenn Sie diese Option nicht aktivieren, werden alle infizierten Dokumente blockiert. Die Option ist standardmäßig deaktiviert.

    Versuchen, infizierte Dokumente zu säubern – Ermöglicht FSSP, infizierte Dokumente ggf. zu bereinigen. Wenn das Bereinigen einer Datei durch FSSP nicht gelingt, wird sie als infiziert gemeldet, und SharePoint Portal Server blockiert die Datei. Wenn die infizierte Datei geschachtelt ist, wird die geschachtelte infizierte Datei von FSSP entfernt (sofern sie nicht bereinigt werden kann). Wenn diese Option deaktiviert ist, werden gefundene Dateien von Forefront Security für SharePoint als infiziert kennzeichnet, und die Dateien werden von SharePoint Portal Server blockiert. Die Option ist standardmäßig aktiviert.

    Zeitüberschreitung beim Scan nach ___ Sekunden – Gibt an, wie viele Sekunden FSSP ein Dokument scannt, bevor eine Zeitüberschreitung eintritt. Der Standardwert liegt bei 600 Sekunden (zehn Minuten).

    Scanner kann bis zu ___ Threads verwenden – Die Anzahl der Prozesse, die FSSP gleichzeitig ausführen kann. Der Standardwert von 10 gleichzeitigen Threads ist der Maximalwert.

    HinweisHinweis:
    Wenn sowohl Dokumente beim Hochladen scannen als auch Dokumente beim Herunterladen scannen deaktiviert ist, werden der Echtzeitscanauftrag und die zugehörige Einstellung Versuchen, infizierte Dokumente zu säubern deaktiviert.
  3. Wählen Sie in der Liste verfügbarer Scanner von Drittanbietern im Abschnitt Dateiscanner die Dateiscanmodule aus. Wenn das Scannen deaktiviert werden soll, ohne dass sich dies auf die Möglichkeit auswirkt, Dateien und Inhalte zu filtern, entfernen Sie die Markierung des Kontrollkästchens Virenscan im Arbeitsbereich Auftrag ausführen des Bereichs BETRIEB des Navigationsbereichs für den Echtzeitscanauftrag.

  4. Legen Sie im Feld Abweichung fest, wie viele Module verwendet werden sollen, damit eine akzeptable Wahrscheinlichkeit besteht, dass Ihr System geschützt ist. Weitere Informationen finden Sie unter Mehrere Scanmodule.

  5. Wählen Sie im Feld Aktion die Aktion aus, die Forefront Security für SharePoint ausführen soll, wenn ein Virus entdeckt wird. Zur Aktionsauswahl gehören:

    Überspringen: nur erkennen – Es wird kein Versuch unternommen, die betroffene Datei zu bereinigen oder zu löschen. Viren werden berichtet, die Dateien bleiben jedoch infiziert. Wurde jedoch Beschädigte komprimierte Dateien löschen, Beschädigte Uuencode-Dateien löschen oder Verschlüsselte komprimierte Dateien löschen unter Allgemeine Optionen ausgewählt, wird das Element bei Übereinstimmung mit einer dieser Bedingungen gelöscht.

    Bereinigen: Dokument reparieren – Versuch, den Virus zu entfernen. Bei Erfolg wird die infizierte Datei durch die saubere Version ersetzt. Wenn eine Säuberung nicht möglich ist, wird die Datei durch den unter Text für das Löschen angegebenen Text ersetzt. Dies ist die Standardeinstellung.

    Blocken: Übertragung verhindern – Es wird verhindert, dass infizierte Dateien hoch- oder heruntergeladen werden. Der Benutzer wird in einer SharePoint-Meldung darüber informiert, dass die Datei infiziert war und nicht hoch- bzw. heruntergeladen werden konnte.

  6. Aktivieren Sie die E-Mail-Benachrichtigung, indem Sie „Benachrichtigungen senden“ wählen. Diese Einstellung hat keine Auswirkungen auf die Einträge im Vorfallprotokoll. Wenn Sie die Benachrichtigungsfunktion aktivieren, müssen Sie sie entsprechend konfigurieren (siehe E-Mail-Benachrichtigungen). Benachrichtigungen sind standardmäßig deaktiviert.

  7. Legen Sie mithilfe der Option Quarantänedateien fest, ob Dateien, die von den Dateiscanmodulen als infiziert eingestuft wurden, unter Quarantäne gestellt werden sollen. Die Quarantäne ist standardmäßig aktiviert. Wenn die Quarantänefunktion aktiviert ist, werden gelöschte Dateien aufbewahrt und können so wiederhergestellt werden.

  8. In der Standardeinstellung werden in FSSP alle Dateien nach Viren durchsucht. FSSP kann jedoch so konfiguriert werden, dass nur Dateien gescannt werden, die mit größerer Wahrscheinlichkeit Viren enthalten, um Scans so schnell und effizient wie möglich auszuführen. Dies geschieht zunächst durch Bestimmen des Dateityps und durch Bestimmen, ob dieser Dateityp mit einem Virus infiziert sein könnte. Die Bestimmung des Dateityps geschieht durch Überprüfen des Dateivorspanns und nicht der Dateierweiterung. Diese Methode ist deutlich sicherer, da Dateierweiterungen problemlos manipuliert werden können. Durch diese Überprüfung wird die Leistung von FSSP erhöht und gleichzeitig sichergestellt, dass keine potenziell infizierten Dateianlagen durchgehen, ohne gescannt zu werden. Wenn in FSSP das Scannen von Dateitypen umgangen werden soll, die in der Regel keine Viren enthalten können, setzen Sie den Registrierungsschlüssel ScanAllAttachments auf 0. (Bei ScanAllAttachments handelt es sich um einen "ausgeblendeten" Schlüssel. Dies bedeutet, dass der Standardwert 1 verwendet wird, wenn der Schlüssel nicht vorhanden ist.)

    Den Registrierungsschlüssel finden Sie an folgenden Orten:

    Bei 32-Bit-Systemen:

    HKLM\SOFTWARE\Microsoft\Forefront Server Security\SharePoint

    Bei 64-Bit-Systemen:

    HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\SharePoint

  9. Klicken Sie auf Speichern.

Wählen Sie im Arbeitsbereich „Einstellungen für Scan-Auftrag“ die Option „Echtzeit-Scan-Auftrag“ aus. Die Änderungen, die im unteren Abschnitt des Arbeitsbereichs Einstellungen für Scan-Auftrag angezeigt werden, betreffen den aktuell in der Liste der Scanaufträge ausgewählten Scanauftrag. Bei einer Änderung der Einstellungen werden die Schaltflächen Speichern und Abbrechen aktiviert. Wenn Sie einen Scanauftrag ändern und danach zu einem anderen Scanauftrag oder einem anderen Menüeintragssymbol wechseln, ohne die Änderung vorher zu speichern, werden Sie zum Speichern der neuen Konfigurationseinstellungen aufgefordert.

Klicken Sie zum Steuern des Echtzeitscanauftrags im Navigationsbereich auf BETRIEB und dann auf das Symbol Auftrag ausführen. Der Arbeitsbereich Auftrag ausführen wird angezeigt.

Wählen Sie in der Liste im oberen Teil des Arbeitsbereichs „Auftrag ausführen“ die Option Echtzeit-Scan-Auftrag. Der untere Abschnitt des Arbeitsbereichs Auftrag ausführen zeigt den Status und die Ergebnisse des aktuell ausgewählten Scanauftrags an.

Wenn die Option „Echtzeit-Scan-Auftrag“ ausgewählt wurde, können Sie mit den Schaltflächen Aktivieren und Umgehung festlegen, ob der Auftrag ausgeführt werden soll.

Echtzeitscanaufträge können nach Viren suchen, eine Dateifilterung oder eine Schlüsselwortfilterung vornehmen oder eine Kombination aus diesen drei Aufgaben ausführen. Legen Sie mithilfe der Kontrollkästchen neben Virenscan, Filtern nach Dateien und Filtern nach Schlüsselwörtern die gewünschte(n) Aufgabe(n) fest. Alle Änderungen an diesen Einstellungen wirken sich umgehend aus, auch wenn der Auftrag gerade ausgeführt wird.

Im unteren Teil des Arbeitsbereichs „Auftrag ausführen“ werden die Infektionen bzw. die gefilterten Ergebnisse angezeigt, die vom Echtzeitscanauftrag gefunden wurden. Diese Ergebnisse werden auf dem Datenträger in der Virusprotokolldatei von FSCController gespeichert und sind nicht davon abhängig, dass Forefront Server Security Administrator geöffnet bleibt. Sie können die Datenbankdateien löschen, wenn sie nicht mehr benötigt werden. Weitere Informationen dazu finden Sie unter „Löschen der Datenbanken“ in Berichterstattung und Statistik.

Für den Fall, dass das Scannen einer Datei durch den Echtzeitscanauftrag länger als die angegebene Zeit dauert (der Standard ist 10 Minuten oder 600000 Millisekunden), wird der Prozess beendet, und Forefront Security für SharePoint versucht, den Dienst neu zu starten. Bei Erfolg wird der Echtzeitscan wieder aufgenommen und es wird eine Benachrichtigung an den Administrator gesendet, die angibt, dass der Echtzeitscanauftrag die zugeteilte Scanzeit überschritten hat und wiederhergestellt wurde.

Wenn der Vorgang nicht neu gestartet werden kann, wird der Administrator darüber benachrichtigt, dass der Echtzeitscanauftrag beendet wurde. In diesem Fall funktioniert der Echtzeitscan nicht und die Dateien werden nicht gescannt.

Wenn bei Ihnen weiterhin Zeitüberschreitungsprobleme auftreten, können Sie den Timeoutwert erhöhen. Erstellen Sie einen neuen DWORD-Registrierungswert mit dem Namen RealtimeTimeout, und legen Sie die Zeit in Millisekunden fest. (Für ein 20-Minuten-Timeout müssten Sie 1200000 Millisekunden angeben.) Weitere Informationen zu den Registrierungswerten finden Sie unter Registrierungsschlüssel.

 
Anzeigen: