Konfigurieren des geplanten Scans

 

Gilt für: Forefront Protection for Exchange

Letzte Änderung des Themas: 2010-07-07

Es gibt verschiedene Konfigurationseinstellungen, die Sie für geplante Scans anpassen können, um die Anforderungen der Umgebung zu erfüllen. Dazu gehört das Auswählen der Anzahl der Scanmodule, die für jeden Scan verwendet werden soll, das Festlegen der bei Erkennen von Malware zu ergreifenden Maßnahmen und die Angabe, ob verdächtige Dateien unter Quarantäne gestellt werden sollen.

So konfigurieren Sie die geplante Überprüfung
  1. Klicken Sie im Forefront Protection 2010 für Exchange Server Administrator Console auf die Richtlinienverwaltung, und klicken Sie unter Antimalware auf Postfach - Geplant.

  2. Konfigurieren Sie im Bereich Antimalware - Postfach geplant unter dem Abschnitt Allgemeine Einstellungen die folgenden Einstellungen:

    1. Geplanten Antivirusscan aktivieren – Aktivieren oder deaktivieren Sie dieses Kontrollkästchen, um den geplanten Antivirusscan zu aktivieren oder zu deaktivieren. Diese Einstellung ist standardmäßig aktiviert.

    2. Geplanten Antispywarescan aktivieren – Aktivieren oder deaktivieren Sie dieses Kontrollkästchen, um den geplanten Antispywarescan zu aktivieren oder zu deaktivieren. Diese Einstellung ist standardmäßig aktiviert.

  3. Wählen Sie im Bereich Antimalware - Postfach geplant unter dem Abschnitt Module und Leistung die Anzahl der Scanmodule aus, die für diesen Scan verwendet werden sollen. Weitere Informationen finden Sie unter Konfigurieren der Anzahl der für jeden Scan verwendeten Scanmodule.

  4. Konfigurieren Sie im Bereich Antimalware - Postfach geplant unter dem Abschnitt Scanaktionen die folgenden Einstellungen:

    1. Aktion – Wählen Sie die Aktion aus, die bei Erkennen eines Virus oder von Spyware ausgeführt werden soll. Für Viruserkennungen können Sie Erkennung überspringen, Bereinigen (Standard) und Löschen auswählen. Für Spywareerkennungen können Sie Erkennung überspringen, Löschen (Standard) und Entfernen auswählen. Weitere Informationen finden Sie unter Konfigurieren der beim Erkennen von Malware auszuführenden Aktion.

    2. Quarantänedateien – Aktivieren oder deaktivieren Sie mithilfe der Dropdownliste (durch Auswählen von Ja bzw. von Nein) das Speichern von infizierten Dateien, die von den Dateiscanmodulen erkannt wurden. Die Quarantäne ist standardmäßig aktiviert. Durch das Aktivieren der Quarantäne werden gelöschte Anlagen und entfernte Nachrichten an einem Ort gespeichert, an dem sie wiederhergestellt werden können. Entfernte wurminfizierte Nachrichten können jedoch nicht wiederhergestellt werden. Weitere Informationen zur Quarantäne finden Sie unter Anzeigen und Verwalten von Quarantäne.

    3. Text für Malwarelöschung bearbeiten – Sie können Text für das Löschen angeben, durch den der Inhalt einer infizierten Datei während eines Löschvorgangs ersetzt wird. Wenn Sie den Standardtext für Löschen beibehalten, werden Sie informiert, dass eine infizierte Datei entfernt wurde, und es wird angegeben, um welche Datei und welche Malware es sich gehandelt hat. Klicken Sie zum Ändern des standardmäßigen Text für das Löschen auf Text für Malwarelöschung bearbeiten, nehmen Sie Änderungen am Text für das Löschen im Dialogfeld Text für Malwarelöschung bearbeiten vor, und klicken Sie anschließend auf Übernehmen und Schließen, um zum Bereich Antimalware - Postfach geplant zurückzukehren.

      HinweisHinweis:
      FPE enthält Schlüsselwörter, die Sie unter "Text für das Löschen" verwenden können, um Informationen aus der Nachricht abzurufen, in der die Infektion aufgetreten ist. Klicken Sie zum Verwenden der Schlüsselwörter im Dialogfeld Text für Malwarelöschung bearbeiten mit der rechten Maustaste, wählen Sie Feld einfügen und anschließend das gewünschte Makro aus. Weitere Informationen zu dieser Funktion finden Sie unter Schlüsselwortersetzungsmakros.
  5. Klicken Sie auf Speichern.

HinweisHinweis:
Die Planungsoptionen werden in Planen des geplanten Scans beschrieben.

Sie können die folgenden zusätzlichen Einstellungen unter dem Abschnitt Zusätzliche Optionen des Bereichs Antimalware - Postfach geplant konfigurieren. Klicken Sie auf Speichern, nachdem Sie alle Änderungen an den Einstellungen vorgenommen haben.

  • DOC-Dateien als Container scannen – Konfiguriert den geplanten Scan so, dass Dateien gescannt werden, die strukturierten Speicher und das OLE-eingebettete Dateiformat (beispielsweise DOC, XLS, PPT oder SHS) als Containerdateien verwenden. Dadurch wird sichergestellt, dass eingebettete Dateien als potenzielle Träger von Malware gescannt werden. Diese Einstellung ist standardmäßig deaktiviert.

  • Nachrichtentext scannen – Konfiguriert den geplanten Scan so, dass Nachrichtentexte sowie Anlagen gescannt werden. Das Scannen von Nachrichtentexten ist standardmäßig deaktiviert, da dadurch die für einen Scan erforderliche Zeit verlängert wird.

  • Geplanten Scan nach Modulaktualisierung starten – Konfiguriert den geplanten Scan so, dass er umgehend nach einem Modul- oder Definitionsupdate ausgeführt wird, und zwar unabhängig davon, wann laut Planung der nächste Scanvorgang stattfinden soll. Diese Einstellung ist standardmäßig deaktiviert.

    VorsichtVorsicht:
    Wenn diese Einstellung aktiviert ist und während eines geplanten Scans ein Update stattfindet, wird der geplante Scan bei der zu diesem Zeitpunkt gescannten E-Mail neu gestartet. Wenn vor Abschluss des geplanten Scans weitere Updates heruntergeladen werden, wird der Scan unbegrenzt fortgesetzt. Daher wird empfohlen, keinen Scan für ein großes Dataset zu planen, falls diese Einstellung aktiviert ist. Wenn diese Option aktiviert ist, wird der Postfachserver unter Umständen vermehrt nach Malware gescannt, wodurch möglicherweise die Serverleistung beeinträchtigt wird.
  • Malwarebenachrichtigungen unterdrücken – Unterdrückt die Benachrichtigungen Virus gefunden, Spyware gefunden und Wurm gefunden auch, wenn diese Benachrichtigungen aktiviert sind. Diese Einstellung ist standardmäßig deaktiviert.

  • Anzahl der Vorgänge – Konfiguriert die Anzahl der Prozesse, die pro Postfachserver ausgeführt werden sollen. Der Standardwert ist 1 (maximaler Wert 10).

    Bei Ausführung mehrerer geplanter Prozesse wird die Datei im ersten Prozess gescannt, sofern der Prozess nicht ausgelastet ist. In diesem Fall wird die Datei zum Scannen an den zweiten Prozess übergeben. Wenn der zweite Prozess ausgelastet und ein dritter aktiviert ist, wird die Datei im dritten Prozess gescannt. Dateien werden von FPE an den ersten Prozess übergeben, sofern dieser verfügbar ist.

    Die Ausführung mehrerer Prozesse erhöht die Belastung des Servers beim Starten. Dies gilt, wenn die Prozesse geladen werden und wenn sie zum Scannen einer Datei aufgerufen werden. Mehr als die Standardanzahl von Prozessen sollte nicht notwendig sein, außer in Umgebungen hohen Volumen. Da durch das Erhöhen der Anzahl von Prozessen zusätzliche Serverressourcen belegt werden, wird empfohlen, sie einzeln zu vergrößern und die Leistung schrittweise zu bewerten.

    WichtigWichtig:
    Der Microsoft Exchange-Informationsspeicherdienst muss beendet und anschließend gestartet werden, damit Änderungen an der Einstellung wirksam werden. Verwenden Sie nicht die Neustartfunktion.
  • Scantimeout (Sekunden) – Konfiguriert die Dauer in Sekunden, mit der eine Datei im Rahmen eines geplanten Scans bis zur Zeitüberschreitung gescannt wird. Der Standardwert beträgt 150 Sekunden.

    Falls beim geplanten Scan die angegebene Zeit für das Scannen einer Nachricht überschritten wird, wird der Prozess beendet, und der Dienst wird von FPE neu gestartet. Bei Erfolg wird der geplante Scan fortgesetzt, und es wird eine Benachrichtigung an den Administrator gesendet, derzufolge der geplante Scanauftrag die zugeteilte Scanzeit überschritten hat und wiederhergestellt wurde.

    Beim Starten des neuen geplanten Scanvorgangs wird die Nachricht, durch die der Abbruch verursacht wurde, erneut gemäß der Einstellung Aktion bei Scanzeitüberschreitung verarbeitet. Wenn diese Einstellung z. B. auf Löschen festgelegt ist, wird die Datei von FPE gelöscht. Zudem werden die Inhalte durch den Text für das Löschen für den geplanten Scan ersetzt, die Informationen protokolliert sowie die Datei unter Quarantäne gestellt und archiviert.

    Wenn der Vorgang nicht neu gestartet werden kann, wird der Administrator darüber benachrichtigt, dass der geplante Scan beendet wurde. In diesem Fall funktioniert der geplante Scan für diese spezielle Speichergruppe nicht mehr, doch der Informationsspeicher wird nicht beendet.

    WichtigWichtig:
    Der Microsoft Exchange-Informationsspeicherdienst muss beendet und anschließend gestartet werden, damit Änderungen an der Einstellung wirksam werden. Verwenden Sie nicht die Neustartfunktion.
  • Aktion bei Scantimeout – Konfiguriert, welche Aktion auszuführen ist, wenn für den geplanten Scan beim Scannen einer Datei eine Zeitüberschreitung eintritt. Folgende Optionen stehen zur Auswahl:

    • Ignorieren – Die Datei wird weitergeleitet, ohne gescannt zu werden.

    • Erkennung überspringen – Gibt im Vorfall- und im Programmprotokoll an, dass die Scanzeit von der Datei überschritten und sie ohne Scannvorgang übergeben wurde.

    • Löschen – Das Ereignis wird gemeldet, und der Dateiinhalt wird durch den Text für das Löschen ersetzt. Der Standardwert ist Löschen.

    HinweisHinweis:
    Wenn Aktion bei Scanzeitüberschreitung auf Erkennung überspringen oder Löschen festgelegt und die Quarantäne aktiviert ist, wird eine Kopie der Datei in der Datenbank gespeichert.
  • Maximale Containerscanzeit (Sekunden) – Konfiguriert die Dauer in Sekunden, mit der eine komprimierte Anlage gescannt wird, bevor ein Vorfall vom Typ "ScanTimeExceeded" gemeldet wird. Diese Option soll Denial-of-Service aufgrund von Zip-of-Death-Angriffen verhindern. Der Standardwert beträgt 120 Sekunden.

Sie können die folgenden zusätzlichen Einstellungen unter dem Abschnitt Einstellungen für geplanten Scan des Bereichs Antimalware - Postfach geplant konfigurieren. Klicken Sie auf Speichern, nachdem Sie alle Änderungen an den Einstellungen vorgenommen haben.

  • Nur ungescannte Nachrichten scannen – Konfiguriert den geplanten Scan, um nur bisher nicht gescannte Nachrichten zu scannen. Diese Einstellung ist standardmäßig deaktiviert.

  • Nur Nachrichten mit Anlagen scannen – Konfiguriert den geplanten Scan, um nur Nachrichten mit Anlagen zu scannen. Diese Einstellung ist standardmäßig aktiviert.

  • Maximale Scanzeit aktivieren – Durch Aktivieren dieses Kontrollkästchen können Sie die maximale Dauer angeben, die der geplante Scan vor Erreichen des Zeitlimits ausgeführt werden soll. Diese Einstellung ist standardmäßig deaktiviert, d. h., es besteht keine Beschränkung hinsichtlich der Scanzeit. Legen Sie bei Auswahl dieser Einstellung die Zeit mit der Option Maximale Scanzeit (Stunden: Minuten) fest.

  • Maximale Scanzeit (Stunden: Minuten) – Wenn Sie die Einstellung Maximale Scanzeit aktivieren aktiviert haben, geben Sie mithilfe dieser Einstellung die maximale Dauer in Stunden und Minuten an, für die der geplante Scan bis zum Erreichen des Zeitlimits ausgeführt wird. Wenn die Einstellung aktiviert ist, beträgt der Standardwert 1 Stunde. Die maximale Zeit, die Sie angeben können, ist 23 Stunden und 59 Minuten.

  • Nur Nachrichten scannen, die empfangen wurden in den letzten – Legt Beschränkungen für geplante Scans fest, indem bei geplanten Scans Nachrichten auf Grundlage ihres Alters gescannt werden. Klicken Sie in der Dropdownliste auf eine der folgenden Optionen: Beliebig, 4 Stunden, 6 Stunden, 8 Stunden, 12 Stunden, 18 Stunden, 1 Tag, 2 Tage (Standard), 3 Tage, 4 Tage, 5 Tage, 6 Tage, 7 Tage, 30 Tage.

    WichtigWichtig:
    Gehen Sie beim Festlegen dieser Option vorsichtig vor. Gehen sehr viele Nachrichten beim Postfachserver ein und wird ein zu langer rückwirkender Scanzeitraum ausgewählt, kann dies zu einem permanenten geplanten Scan führen, was unter Umständen die Serverleistung beeinträchtigt.

    Der ausgewählte Zeitrahmen sollte so gewählt sein, dass er es ermöglicht, einer speziellen Bedrohung entgegenzuwirken oder ganz allgemein die immer vorhandene Sicherheitslücke zwischen dem Auftauchen neuer schädlicher Software und der Verfügbarkeit von Schutzdefinitionen zu schließen. Wenn täglich ein geplanter Scan stattfindet (weitere Informationen finden Sie unter Planen des geplanten Scans), wird empfohlen, die E-Mails der vergangenen zwei Tage zu scannen. Berücksichtigen Sie beim Festlegen der Zeitspanne jedoch sowohl Sicherheits- als auch Leistungskriterien.

  • Priorität festlegen – Legt die CPU-Priorität fest, damit wichtigere Aufträge Vorrang vor anderen geplanten Scans zu erhalten, wenn ein hoher Bedarf an Serverressourcen besteht. Klicken Sie in der Dropdownliste Priorität festlegen auf eine der folgenden Optionen: Normal (Standard), Geringer als normal oder Niedrig.

 
Anzeigen: